L'utilisation Des Données Personnelles Dans Le Droit Comparé

Mémoire pour l’Obtention du Diplôme de Master Droit Du Numérique
Sur le thème :
L’UTILISATION DES DONNEES

PERSONNELLES DANS LE DROIT COMPARE
Présenté par : Amine HAOUNANI Encadré par : Dr. AKKOUR Soumaya
Mémoire présenté le 05 /11/2019, Devant un jury composé de :
Pr. AKKOUR SOUMAYA ..........................Professeure à la FSJES- Settat..............Présidente

Pr. TIALATI ABDELKADER.....................Professeur à la FSJES- Settat................Membre
Pr. RAJAALLAH EL MOSTAFA...............Professeur à la FSJES- Settat................Membre
Pr. ..................................................................Professeur à la FSJES- Settat................Membre
Année universitaire 2018 / 2019

L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
2
L’UTILISATION DES DONNEES

PERSONNELLES DANS LE DROIT COMPARE
3
 Remerciements :
 Dédicaces :
4
TABLEAU DES ABREVIATIONS

AAI Autorité administrative indépendante
Art. Article
ARCEP Autorité de régulation des communications électroniques et des
postes
CA Cour d’appel
CAA Cour administrative d’appel
CJUE Cour de justice de l’Union européenne
CNDP La Commission nationale pour le contrôle de la protection des
données personnelles
CNIL Commission Nationale Informatique et Libertés
CoE COUNCIL OF EUROPE
Const La constitution
Conv. Convention
CP Code pénal
CVPC Commissariat à la protection de la vie privée du Canada
DGSN La Direction Générale de la Sûreté nationale
DGSSI La Direction générale de la sécurité des systèmes d’information
DPA L’autorité fédérale allemande de protection des données
DPO Data Protection Officer (délégué à la protection des données)
FAI Fournisseurs d’accès Internet
Ibid. Au même endroit
IP Internet Protocol
L. Loi
LPRPDE La Loi sur la protection des renseignements personnels et les
documents électroniques
NTIC Nouvelles technologies de l’information et de la communication.
Obs. Observations.
OCDE L’organisation de Coopération et de Développement Économiques
ONU Organisation des nations unies

RGPD Règlement général sur la protection des données
STAD Système de traitement automatisé de données
TUE Tribunal de l’Union européenne
5
Aperçu
Nous parlons d’un enjeu qui concerne chacun d’entre nous, de notre capacité au
travail, à la maison, dans nos achats, notre santé, à voir notre vie privée effectivement
garantie au sein d’un univers qui a tellement changé depuis dix ans. En quelques
années en effet, le monde numérique s’est installé. Il ne s’agit pas seulement
d’Internet. Il s’agit de la dématérialisation progressive de toutes les activités
humaines qui s’étendent désormais du monde physique au monde virtuel ; l’individu
passe de l’un à l’autre souvent sans même s’en apercevoir et la donnée est au cœur de
ce monde « sans couture ».1
Ces dernières années, le respect de la vie privée s’est vu de plus en plus

menacé par le développement exponentiel des nouveaux systèmes
d’information et de collecte des données personnelles. L’Union européenne
est alors intervenue, plus de vingt ans après sa première législation en
matière de protection des données à caractère personnel, en adoptant le 27
avril 2016 un nouveau règlement. L’un des principaux changements
apportés réside dans la notion de consentement, mode de légitimation du
traitement des données personnelles.
La présente contribution vise à déterminer si bénéficier d’une protection

juridique, constitue toutefois un outil approprié à la protection des données
personnelles face à l’environnement numérique d’aujourd’hui.
Notre travail se scindera en deux grands chapitres, en premier lieu, les

principales définitions, l’utilisation et la protection juridique des données à
caractère personnel, avec une analyse comparative entre plusieurs systèmes
juridiques : la France, l’Allemagne, le Canada et le Maroc qui est en voie de
développement, dans le deuxième chapitre, nous présenterons le traitement
des données personnelles, commençons par la règlementation des
traitements, puis la confidentialité et la sécurité.
1
Isabelle Falque- Pierrotin, « Quelle protection européenne pour les données personnelles ? », Fondation Robert
Schuman, Questions d’Europe, n° 250, 3 septembre 2012.
6
SOMMAIRE
 CHAPITRE I : LA PROTECTION JURIDIQUE DES DONNEES A

CARACTERE PERSONNEL
 SECTION I : LE DISPOSITIF MAROCAIN
Paragraphe 1 : Protection assurée par les textes nationaux

Paragraphe 2 : Protection complétée par les acteurs institutionnels
 SECTION II : PROTECTION JURIDIQUE A L’ECHELLE

INTERNATIONALE (le droit comparé)
Paragraphe 1 : Les données personnelles dans le droit comparé

Paragraphe 2 : Les directives européennes et recommandations communautaires
 CHAPITRE II : LE TRAITEMENT DES DONNEES PERSONNELLES
 SECTION I : LA REGLEMENTATION DES TRAITEMENTS, VERS UNE

SIMPLIFICATION NECESSAIRE
Paragraphe 1 : Les principes du traitement

Paragraphe 2 : Une adaptation a de nouveaux défis
 SECTION II : CONFIDENTIALITE ET SECURITE DES TRAITEMENTS
Paragraphe 1 : Les conditions requises pour la qualité du responsable du traitement

Paragraphe 2 : Les obligations des responsables de traitement
7
Introduction
Nul ne peut plus ignorer le droit des données personnelles. Au carrefour des libertés
informatiques, des impératifs sécuritaires et de l’économie, il a pour fonction et ambition
d’assurer un équilibre délicat entre des intérêts différents, si ce n’est souvent divergents.
Car la dernière décennie a profondément affecté le couple informatique et libertés au
point que le rapport entre ces deux termes est le plus souvent envisagé sur un mode
conflictuel.
Internet et les nouvelles technologies ont également mis à l’épreuve des principes
élaborés alors que le fichage étatique et l’informatique centralisée se présentaient
comme la principale menace. Ainsi, la notion de donnée personnelle au cœur de la loi «
Informatique et libertés » du 6 janvier 1978 se brouille alors que se dessinent les
volontés, principalement communautaires et industrielles, de déplacer le centre de
gravité de la protection vers un droit sur la maîtrise de ses données fondées sur la
responsabilisation des intéressés.
Historiquement le terme des données personnelles fut utilisé pour la première fois en
1980 dans les Lignes directrices de l’Organisation de Coopération et de Développement
Économiques (OCDE) sur la vie privée et les flux transfrontières de données à caractère
personnel2. Puis, l’expression fut reprise dans la Convention du Conseil de l’Europe
pour la protection des personnes à l’égard des traitements automatisés des données à
caractère personnel signée à Strasbourg le 28 janvier 1981 3, dans les Lignes directrices
concernant les fichiers informatisés de données personnelles 4 de l’Organisation des
Nations Unies ainsi que dans divers textes sectoriels tels que celui élaboré par exemple
par l’Organisation mondiale du commerce 5. Surtout, le vocable « données à caractère
personnel » est employé en 1995 lorsque l’Europe décide de se doter d’un instrument
contraignant. La directive 95/46/CE du 24 octobre 1995 est ainsi relative à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à
2
OCDE, 23 septembre 1980, Editions OCDE, 2002.
3
Convention 108, JOCE du 20 novembre 1985, p. 13436
4
Résolution n° 45/95 du 14 décembre 1990, consultable à l’adresse
http://www1.umn.edu/humanrts/instree/french/Fq2grcpd.html.
5
Accord Général sur le commerce des services du 15 avril 1994, consultable à l’adresse
http://www.wto.org/french/docs_f/legal_f/26-gats.pdf. Voir en particulier l’article XIV c) ii) qui dispose que «
sous réserve que ces mesures ne soient pas appliquées de façon à constituer soit un moyen de discrimination
arbitraire ou injustifiable entre les pays où des conditions similaires existent, soit une restriction déguisée au
commerce des services, aucune disposition du présent accord ne sera interprétée comme empêchant l’adoption
ou l’application par tout Membre de mesures […] nécessaires pour assurer le respect des lois ou réglementations
qui ne sont pas incompatibles avec les dispositions du présent accord, y compris celles qui se rapportent […] à la
protection de la vie privée des personnes pour ce qui est du traitement et de la dissémination de données
personnelles, ainsi qu’à la protection du caractère confidentiel des dossiers et comptes personnels », p. 328.
8
la libre circulation de ces données 6. Ce texte est précisé et complété deux ans après son
adoption par une seconde directive s’appliquant exclusivement au secteur des
télécommunications 7 et est intégré dans le corpus juridique français avec six ans de
retard par la loi de transposition du 6 août 2004 modifiant la loi n° 78-17 du 6 janvier
1978 8. Entre-temps, l’expression « données personnelles » a été consacrée par la Charte
des droits fondamentaux de l’Union européenne 9 et tous les textes nationaux et
européens postérieurs la reprennent.
On constate ainsi que les textes glissent de la notion d’informations nominatives à

celle de données à caractère personnel. Se pose dès lors la question de savoir si cette
évolution est le signe d’une continuité, auquel cas les deux expressions sont synonymes,
ou d’un changement profond, auquel cas des critères de différenciation des deux notions
doivent être recherchés.
La réponse à cette question est d’autant plus importante qu’elle s’inscrit dans un
courant actuel fort visant à réformer les législations relatives à la protection des données,
dont la directive du 24 octobre 1995 et la convention du 28 janvier 198110. Le processus
de modification de ladite directive actuellement en cours se fait naturellement selon
plusieurs étapes 11 dont l’une a consisté en la publication par la Commission d’un projet
de Règlement européen relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces données le
25 janvier 2012 12. La tendance à l’adoption d’un règlement plutôt que d’une directive
doit être saluée tant il apparaît nécessaire d’harmoniser les législations présentes au sein
de l’Union européenne pour y éviter la mise en place de « paradis de données ». Les
6
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, JOCE du 23 novembre 1995, p 31
7
Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, JOCE L
24 du 30 janvier 1998, p. 1.
8
Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de
données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978, JO du 7 août 2004, p. 14063.
9
Art. 8, JOCE C 364 du 18 décembre 2000, p. 1. Bien que signée en 2000, cette Charte n’a acquis valeur
contraignante qu’avec l’entrée en vigueur du traité de Lisbonne modifiant le traité sur l’Union européenne et le
traité instituant la Communauté européenne, signé à Lisbonne le 13 décembre 2007 et entré en vigueur le 1 er
décembre 2009, JOUE C 306 du 17 décembre 2007, p. 1.
10
Conseil de l’Europe, Résolution n° 3 sur la protection des données à caractère personnel et la vie privée au
troisième millénaire, MJU-30 (2010) RESOL. 3 E, 26 novembre 2010, consultable à l’adresse
http://www.coe.int/t/dghl/standardsetting/minjust/mju30/MJU30%20_2010_%20RESOL%203%20E%20final.pd
f. Voir également le document de travail du Bureau du Comité consultatif de la Convention pour la protection des
personnes à l’égard du traitement automatisé des données à caractère personnel, « Moderniser la convention :
nouvelles propositions », T-PD-BUR(2012)01Rev_fr, 5 mars 2012.
11
Communication de la Commission européenne, « Une approche globale de la protection des données à
caractère personnel dans l’Union européenne », COM(2010) 609 final, 4 novembre 2010. Voir également L.
LINKOMIES, « European Union to strengthen privacy framework », Privacy Laws & Business, International
Newsletter, février 2010, p. 6, et V. REDING, « Towards a true Single Market of data protection »
12
Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement
général sur la protection des données), COM(2012) 11 final, 25 janvier 2012.
9
autorités prévoient, peut-être avec un certain optimisme, l’adoption de ce texte au début

de l’année 2014 pour une entrée en vigueur deux ans plus tard 13. 2016 paraît pourtant
bien loin au regard de l’évolution effrénée qui s’attache à la collecte des données et on
peut se demander si le droit ne sera pas à ce moment déjà en retard par rapport à la
technologie...
Ce règlement doit être complété d’une directive pour les matières relevant de la
prévention, de la détection, d’enquêtes et de poursuites des infractions pénales ainsi que
de l’exécution des sanctions pénales. Cette dichotomie est aujourd’hui critiquée, les
instances de protection des données considérant qu’une approche globale aurait été
préférable.
Il faut par ailleurs noter que même les États-Unis qui, pourtant, ont toujours été
favorables à une auto régulation du marché, réfléchissent à l’adoption de divers textes
tels que le projet de loi pour encadrer la collecte et l’utilisation des informations
individuelles obtenues par le traçage de l’activité d’un internaute 14 ou le projet de loi
visant à protéger la vie privée des consommateurs américains sur l’Internet 15. Dès lors,
un changement profond semble s’être opéré depuis l’adoption des premières
législations.
Or, ce changement devrait apparaître expressément dans les textes actuels qui
devraient en tirer toutes les conséquences. Les travaux préparatoires de la loi du 6 août
2004 énoncent trois raisons à ce passage de l’information nominative à la donnée
personnelle. Premièrement, « la notion de “donnée à caractère personnel” paraît plus
pertinente compte tenu du développement des mesures d’identification indirecte 16 ». La
portée de cette justification est immédiatement tempérée, les auteurs notant que « la
CNIL adopte déjà une conception large des informations nominatives, qui inclut par
exemple les numéros de téléphone, les plaques d’immatriculation ou les numéros de
certains badges, ainsi que les clichés permettant d’identifier une personne ».
Deuxièmement, l’adoption de l’expression de « données à caractère personnel »

permet « de mettre fin en droit français à une confusion dénoncée par le Conseil d’État
13
CNIL, « Projet de Règlement européen : point d’étape et calendrier prévisionnel », 17 décembre 2012.
14
J. ROCKEFFELLER, « Bill to require the Federal Trade Commission to prescribe regulations regarding the
collection and use of personal information obtained by tracking the online activity of an individual, and for other
purposes », 9 mai 2011.
15
The White House, « Consumer Data Privacy in a networked world : a framework for protecting privacy and
promoting innovation in the global digital economy », février 2012.
16
A. TÜRK, Rapport n° 218 sur le projet de loi, adopté par l’Assemblée nationale, relatif à la protection des
personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés, déposé le 19 mars 2003, p. 47
10
entre les “informations nominatives” au sens de la loi du 6 janvier 1978 et les

“informations nominatives” au sens de la loi n° 78-753 du 17 juillet 1978 »17.
Au sens de ce texte, « est nominatif tout document portant une appréciation ou un

jugement de valeur sur une personne physique nommément désignée ou facilement
identifiable, ou incluant la description du comportement d’une personne, dès lors qu’il
s’avère que la divulgation de ce comportement pourrait lui porter préjudice »18. Avec
une telle acception, le caractère nominatif apparaît beaucoup plus restrictif que dans la
loi du 6 janvier 1978 puisqu’il n’existe qu’en cas d’appréciation, de jugement de valeur
ou de divulgation préjudiciable d’un comportement. Cette différence d’approche du
terme « nominatif » a conduit à des difficultés d’interprétation et d’application des lois
des 6 janvier et 17 juillet 1978 19.
C’est ce que soulignent les travaux préparatoires de la loi du 6 août 2004 au moment
de justifier l’abandon de l’expression d’« informations nominatives » au profit de celle
de « données à caractère personnel ». Néanmoins, cette motivation n’est pas
convaincante dans la mesure où le mot « nominatif » avait disparu du vocabulaire utilisé
dans le cadre de l’accès aux documents administratifs depuis la loi du 12 août 2000 20.
Dès cette date, chaque administré a pu en effet demander à accéder aux différents
documents administratifs à l’exception de ceux qui portaient atteinte au secret de la vie
privée ou au secret médical, qui portaient une appréciation ou un jugement de valeur ou
qui révélaient un comportement dont la divulgation pouvait porter préjudice.
La confusion entre « informations nominatives » au sens de la loi informatique et

libertés et « informations nominatives » au sens de la loi du 17 juillet 1978 n’existait
donc plus depuis l’année 2000 si bien qu’elle ne pouvait justifier l’abandon de
l’expression d’« informations nominatives » et, corrélativement, l’adoption de celle de
« données à caractère personnel» dans la loi du 6 août 2004. Enfin, selon les travaux
précédant la loi du 6 août 2004, l’expression de « données personnelles » offre un
avantage en ce que les termes employés présentent des caractères de généralité et de
neutralité qui doivent permettre d’éviter « l’obsolescence rapide de la loi » 21. En
substituant
17
A. TÜRK, Rapport n° 218 sur le projet de loi, adopté par l’Assemblée nationale, relatif à la protection des
personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés, déposé le 19 mars 2003, p. 47
18
Commission d’accès aux documents administratifs, Guide de l’accès aux documents administratifs, La
Documentation française, 1997, p. 47.
19
Voir notamment B. LASSERRE et J.-M. DELARUE, AJDA, 1983, chron., p. 405.
20
Loi n° 2000-321 du 12 août 2000 relative aux droits des citoyens dans leurs relations avec les administrations,
JO n° 88 du 13 avril 2000, p. 5646.
21
A. TÜRK, Rapport n° 218, op. cit.
11
Le terme plus large de « personnel » à celui de « nominatif », l’expression de «

données personnelles » permet naturellement de prendre en compte et d’englober une
multiplicité de renseignements sans s’arrêter au seul nom et à ses accessoires. En
remplaçant le terme d’« information » par celui de « donnée », elle tend également à
prendre en compte les nouvelles modalités de traitement des informations, la donnée
étant définie comme une information destinée à être traitée par un système
informatique 22.
Corrélativement, le terme « donnée » renvoie à l’idée de traitement de masse des

informations permis par l’informatique et à la valeur que peuvent représenter les
informations ainsi utilisées 23. Ces dernières se sont révélées au fil des années présenter
un intérêt économique 24, médical25 ou même pénal26, ce qui a abouti à la naissance des
phénomènes dits de « data mining » ou de « big data »27. Au final, les catégories
d’informations nominatives et de données personnelles semblent partager la même
substance, la seconde donnant simplement l’impression d’un champ d’application plus
large. Ce constat est corroboré par les définitions légales retenues des deux notions.
Le législateur marocain a défini, dans son article premier de la loi 09-08, les données
à caractère personnel comme étant : « toute information de quelque nature qu’elle soit
et indépendamment de son support, y compris le son et l’image, concernant une
personne physique identifiée ou identifiable »28. Les personnes concernées sont celles
qui sont identifiées ou qui peuvent être identifiées directement ou indirectement,
notamment par référence à un numéro d’identification ou à un ou plusieurs éléments
spécifiques de leur identité physique, physiologique, génétique, psychique, économique,
culturelle ou sociale. »
22
Le terme de « données » est précisément défini dans l’arrêté du 22 décembre 1981 relatif à l’enrichissement du
vocabulaire de l’informatique (JO du 17 janvier 1982, p. 624) comme « la représentation d’une information sous
une forme conventionnelle destinée à faciliter son traitement ».
23
Malgré cette différence, ces deux termes sont, en général et par commodité, utilisés comme des synonymes. Tel
est aussi le parti pris tout au long de ce travail.
24
A. BELLEIL, E-privacy : le marché des données personnelles : protection de la vie privée à l’âge d’Internet,
Dunod, septembre 2001.
25
M. CONTIS, « Secret médical et évolutions du système de santé », Thèse Toulouse, 10 décembre 2001
26
Le rapport d’information n° 1548 sur les fichiers de police déposé à l’Assemblée nationale par D. BATHO et
J. A. BENISTI fait état de l’existence de 58 fichiers de police en 2009, 24 mars 2009, spéc. p. 13
27
Le data mining peut être défini comme une technique fondée sur les statistiques, les mathématiques et
l’informatique qui permet d’analyser et d’interpréter des données volumineuses, contenues dans une ou plusieurs
bases de données afin de dégager des tendances. Le Big Data, quant à lui, permet le traitement et l’analyse de
toutes les données captables, sans limitation aux seules données contenues dans une base de données interne.
28
L’article 1 de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel.
12
La comparaison avec l’acception de la notion d’informations nominatives retenue

par le législateur conduit inéluctablement à considérer les deux notions comme
synonymes. Dans les deux cas, l’information est relative à une personne physique
identifiée ou dont l’identification est possible, si bien que les mêmes conditions sont
requises pour être en présence d’une information nominative ou d’une donnée
personnelle.
Cette impression de synonymie est en outre confortée, d’une part, par la doctrine de
la CNIL qui a développé une conception large de la notion d’informations nominatives
au fur et à mesure des avancées techniques 29 et, d’autre part, par l’application de régimes
de protection semblables. Que l’on se situe sous l’empire de la loi de 1978 ou sous celui
des textes postérieurs, les responsables de fichiers désireux d’utiliser des informations
concernant les individus doivent en effet répondre aux mêmes conditions de collecte et
de traitement. Cette dernière doit ainsi par exemple se faire de façon loyale, dans un but
précis et donner lieu à l’accomplissement de formalités auprès de la CNIL.
Le responsable ne peut conserver les données indéfiniment et doit les purger une
fois le but pour lequel elles avaient été collectées atteint. Dans ce cadre, l’informations
nominatives et données personnelles partageant une définition et un régime légal
communs, elles paraissent renvoyer aux mêmes renseignements individuels.
L’intérêt de notre sujet s’incline par les efforts des législateurs afin de favoriser
l’efficacité et l’efficience de l’arsenal juridique assurant la protection des données à
caractère personnel, à l’échelle nationale , ainsi qu’au niveau international tout en
maintenant une comparaison entre les systèmes juridiques des différents pays faisant
l’objet de cette étude à savoir ; Le Maroc , l’Allemagne , la France et le Canada afin de
constater l’évolution des différents systèmes juridiques au fur et à mesure avec
l’évolution de la société numérique. Toutefois, nous nous intéressons aux obstacles qui
empêchent la mise en œuvre de l’arsenal juridique ainsi les lacunes et les vides
juridiques qui marques l’ordre juridique de certains pays, en outre, les solutions
proposées afin d’y remédier.
29
Ainsi, Jean FRAYSSINET écrit-il que « les textes donnent un sens très extensif à la notion de donnée personnelle
correspondant exactement à la conception développée par la CNIL depuis vingt ans à partir du concept de
“données nominatives”, in A. LUCAS, J. DEVEZE et J. FRAYSSINET, Droit de l’informatique et de l’Internet,
PUF, 2001, p. 77.
13
Partant de ce constat, il serait légitime alors de s’interroger sur les dispositifs

juridiques assurant la protection des données personnelles à l’échelle nationale et
international, ainsi que les principes complétant la réglementation des traitements.
Pour traiter cette problématique, on a adopté une méthodologie de recherche comparée,

en raison de la comparaison de plusieurs systèmes juridiques, et une méthode de
recherche descriptive et cela pour décrire le traitement des données personnelles.
Notre travail se scindera en deux grands chapitres. En premier lieu, les principales
définitions et la protection juridique des données à caractère personnel. Sans oublier
l’analyse des textes légaux et réglementaires de ces cadres législatifs,
Dans le deuxième chapitre, nous présenterons le traitement des données personnelles,
analysant en premier lieu la règlementation des traitements, puis la confidentialité et la
sécurité.
14
 CHAPITRE I : LA PROTECTION JURIDIQUE DES DONNEES A

CARACTERE PERSONNEL
Pour bénéficier d’une protection juridique, il faut respecter les principes de

protection des données personnelles issus des textes internationaux.
Nous allons énumérer les grands principes découlant des Lignes directrices et de la
Convention 108 du Conseil de l’Europe.
Notons que ces deux textes raisonnent en termes de « fichier », seul mode
d’organisation des données répandu à l’époque. Les mêmes principes s’appliquent pour
tout autre mode de traitement. Nous donnons ici le résumé de chaque principe. Les
modalités et les exceptions seront détaillées plus loin. 30
 Droit d’accès, de modification et d’opposition :

Toute personne physique a le droit d’obtenir du « maître du fichier » les données la
concernant, et de les faire le cas échéant effacer, rectifier ou compléter.
 Finalité du traitement :
Un traitement de données doit avoir une finalité explicite et préalable ; les données
recueillies ne peuvent ensuite être utilisées pour une autre finalité.
 Information et consentement :
Toute personne physique doit être informée que ses données vont faire l’objet d’un
traitement dans une finalité donnée, et ce traitement ne peut avoir lieu qu’avec son
consentement.
 Qualité des données :

Les données traitées doivent être exactes, complètes et à jour.
 Sécurité des données :

Des mesures de sécurité appropriées doivent être prises pour empêcher l’altération, la
destruction, l’accès ou la divulgation non autorisés.
 Limitation de la durée de conservation :

Les données ne peuvent être conservées que pendant la durée nécessaire à la finalité du
traitement.
30
David Forest, Droit des données personnelles, Gualino, lextenso éditions 2011, p 21
15
 Protection des données « sensibles » :

Le traitement de certaines catégories de données (origine raciale, opinions politiques,
philosophiques ou religieuses, santé, sexualité, condamnation pénales…) fait l’objet de
mesures particulières.
 Limitation de l’exportation :
Les données ne peuvent être exportées que dans un pays garantissant un niveau
comparable de protection.
Les principales exceptions à ces dispositions concernent la sécurité de l’État et la
répression des infractions pénales, la sauvegarde de la vie humaine, la recherche et les
traitements statistiques. 31
SECTION I : LE DISPOSITIF MAROCAIN
Un dispositif protecteur mais décalé par rapport à l’évolution des normes

internationales :
La généralisation de l’informatique et de l’internet, ainsi que le développement rapide

des réseaux sociaux et des objets interconnectés (tablettes, smartphones, GPS), ont
accru l’échange et le partage de données à caractère personnel. 32
Au Maroc, le taux de pénétration d’internet dépassait les 30% et celui de la téléphonie
mobile culminait à plus de 130 % en 2014. D’un coté, cette évolution est synonyme de
nouvelles opportunités et de services innovants. De l’autre, elle comporte des risques
pour la vie privée, les libertés et droits fondamentaux de l’individu, ainsi que pour la
sécurité de l’État et de la société.
En effet, la rapidité, la commodité et l’anonymat de la toile sont souvent exploités à des

fins illégales, voire criminelles. Afin de prévenir et de lutter contre ces agissements, de
nombreux Etats optent pour des politiques de surveillance électronique.
L’utilisation de ces méthodes par nature intrusives doit être soumise à un cadre légal
clair et adéquat, afin d’en assurer une mise en œuvre transparente, non-abusive et non-
arbitraire. Il s’agit de savoir comment bénéficier des biens et services innovants de l’ère
numérique et de permettre aux services de sécurité de remplir leur mission, sans
toutefois porter atteinte aux droits et libertés des individus. Or, comme l’ont révélé
certains lanceurs d’alertes, ce cadre est encore imparfait dans de nombreux pays.
31
Aurélie Banck & Catherine Schultis, Vade-mecum de la protection des données personnelles pour le secteur
bancaire et financier, RB édition 2018 p 63
32
BENSOUSSAN (A.), Informatique et libertés, coll. Mémento, 2eme éd., Francis Lefebvre, 2010.
16
Au cours des dernières années, le Maroc s’est positionné en faveur d’une meilleure
protection des citoyens contre l’usage abusif du traitement automatisé des données à
caractère personnel.
Le Royaume a notamment :
- Créé la Commission Nationale de contrôle de la protection des Données à caractère
Personnel (CNDP) 33,
- Instauré la Direction générale de la sécurité des systèmes d’information (DGSSI)34

qui est l’autorité en charge de la sécurité cybernétique,
- Ratifié la Convention 108 du Conseil de l’Europe et son protocole additionnel35.
Afin que le pays respecte ses engagements internationaux, une mise à niveau
juridique et institutionnelle semble indispensable.
Plusieurs évènements ont été organisés au Maroc pour but :

- Échanger les expériences et offrir une expertise internationale en matière de gestion et
protection des données personnelles,
- Analyser le champ d’application de la loi 09- 08 relative à la protection des personnes

physiques à l’égard du traitement de leurs données personnelles par les services de
sécurité,
- Déterminer les interactions entre les acteurs du secteur de sécurité et la gestion et

protection des données personnelles au Maroc.
- Identifier les implications de l’adhésion du Maroc à la Convention 108 du Conseil de

l’Europe et à son Protocole additionnel et son protocole additionnel pour le secteur de
la sécurité et pour le cadre juridique de la protection des données.
Une cinquantaine de participants marocains et internationaux ont pris part aux

discussions, dont notamment des représentants des autorités exécutives, législatives et
33
La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a été créée
par la loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel.
34
La direction générale de la sécurité des systèmes d'information (dgssi) a été créée par décret n° 2-11-509 du 21
septembre 2011. Elle est rattachée à l'administration de la défense nationale du royaume du Maroc.
35
Voir présentation de la Convention page 11.
17
judiciaires, des services de sécurité, de la CNDP, des médias et de la société civile, ainsi
que des experts internationaux.
Ces événements présentent un résumé des discussions menées lors des séminaires.
La publication vise d’une part à faire le point sur la protection des données personnelles
dans le cadre du secteur de la sécurité au Maroc. D’autre part, il a pour objectif de
sensibiliser les acteurs concernés à l’importance de la protection de la vie privée des
citoyens en tant qu’enjeu majeur de la gouvernance sécuritaire dans les sociétés
connectées.
Depuis le début du XXIème siècle, le Maroc témoigne de sa volonté de respecter et

de protéger les droits humains. Les recommandations de l’Instance Équité et
Réconciliation représentent des acquis importants en la matière. Il faut souligner que la
nouvelle Constitution de 2011 avait posé un nouveau cadre de référence ambitieux et
généré une forme « d’attente » d’institutionnalisation du principe de bonne
gouvernance. 36
Paragraphe 1 : Protection assurée par les textes nationaux
I- Aperçu du cadre juridique national
Dans le cadre des réformes en cours depuis le début des années 2000, le Royaume tente
de trouver le juste équilibre entre impératifs sécuritaires et droit à la protection de la vie
privée. De ce fait, la protection des données personnelles constitue un chantier en plein
essor. Plusieurs textes nationaux vont dans ce sens, dont notamment (par ordre
d’importance juridique) :
 L’article 24 de la Constitution de 2011 consacrant le droit à la protection de la

vie privée 37.
La réforme constitutionnelle de juillet 2011 a réaffirmé l’attachement du Maroc à la

construction d’un État de droit, démocratique et moderne qui protège les droits de
l’Homme et les libertés individuelles et collectives.
Parmi ces droits, figure le droit à la protection de la vie privée
36
Rapport sur la protection des données personnelles dans le cadre du secteur de la sécurité au Maroc/ Séminaire
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc
37
La vie privée, c’est ce qui n’appartient pas à la vie publique, c’est ce qui reste caché. C’est tout ce que les autres
ne connaissent pas de vous, ou ce qui vous concerne et qui doit rester non connu. Cela peut aussi être défini par
l’intimité de chacun, et toutes les activités qui en découlent.
18
Dans son article 24 38, la nouvelle Constitution souligne ce droit fondamental en ces
termes : « Toute personne a droit à la protection de sa vie privée. Le domicile est
inviolable.
Les perquisitions ne peuvent intervenir que dans les conditions et les formes prévues
par la loi. Les communications privées, sous quelque forme que ce soit, sont secrètes.
Seule la justice peut autoriser, dans les conditions et selon les formes prévues par la loi,
l’accès à leur contenu, leur divulgation totale ou partielle ou leur invocation à la charge
de quiconque.
Est garantie pour tous, la liberté de circuler et de s’établir sur le territoire national,
d’en sortir et d’y retourner, conformément à la loi».
Lorsque la Constitution affirme le principe du droit à la protection de la vie privée, elle
entend protéger les droits des individus quant aux informations qui leurs sont
personnelles.
Par ailleurs, en consacrant la primauté des conventions internationales ratifiées, la

Constitution impose le respect, sur le plan interne, des dispositions du Pacte
international relatif aux droits civils et politiques dont l’article 17 rappelle les
dispositions de la Déclaration universelle des droits de l’Homme relatives à la protection
que doit apporter la loi contre les immixtions arbitraires dans la vie privée des individus
et les atteintes à leur honneur et à leur réputation.
 La loi 09-08 sur la protection des données personnelles 39
À l’origine, cette loi générale a été adoptée afin de protéger les personnes de l’utilisation
abusive des données personnelles, en premier lieu et de faciliter par ailleurs la
délocalisation de certaines activités du secteur tertiaire de l’Europe vers le Maroc (ex :
call center). Elle précise notamment que « l’informatique est au service du citoyen (...)
elle ne doit pas porter atteinte aux droits de l’homme 40 » (09-08). Elle inclut les piliers
suivants :
- les droits des personnes physiques concernées par le traitement de leurs données
personnelles.
- les obligations des responsables du traitement des données à caractère personnel.
- les exigences de confidentialité́ à remplir.
- la mise en place d’une autorité́ de contrôle indépendant.
38
Article 24 de la constitution Marocaine
39
Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09-08 relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel
40
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc
19
- les sanctions en cas de violation de la loi 09-08.
Il est important de souligner ici que l’article 2 de la loi 09-08 exclut les données
recueillies dans le cadre des activités de défense et sécurité́ du champ d’application de
la loi. Ceci n’est pas une exception en comparaison internationale. La question est à
présent de savoir si l’article 24 de la Constitution pourrait éventuellement servir de base
à la protection des données personnelles dans le cadre des activités de défense et de
sécurité.
 Le Dahir relatif à l’échange des données électroniques 41.
 La stratégie nationale pour la société́ de l’information, dite « Maroc numérique

2013 »42 : elle inclut une mise à jour du cadre législatif, des activités de
sensibilisation du public sur les dangers de la criminalité liée aux nouvelles
technologies et la mise en place de la Direction Générale de la sécurité des
systèmes d’informations (créée en 2011).
 La charte de nommage.
II- L’adhésion à des instruments internationaux de protection des

données personnelles
La nécessité de réglementer la protection des données à caractère personnel a été dictée

au législateur marocain non seulement par des impératifs économiques mais également
par des impératifs d’adéquation de la législation nationale avec les principes relatifs aux
droits humains énoncés dans des textes fondamentaux internationaux et nationaux.
Dans ce sens Le Maroc est en voie d’adhésion à plusieurs conventions

internationales dans le cadre de la politique de voisinage de l’Union Européenne, dont
notamment la Convention de Budapest et la Convention 108 du Conseil de l’Europe et
son Protocole additionnel. À noter que la Convention 108 du Conseil de l’Europe admet
des restrictions – mais pas d’exceptions – aux principes fondamentaux de la protection
des données personnelles pour des raisons relatives à « la protection de la sécurité de
41
La loi sur l’échange électronique des données juridiques, n° 53-05, a été promulguée par Dahir du 30 novembre
2007, Bulletin Officiel n° 5584.
42
Le plan Maroc Numérique 2013 s’articule autour de quatre axes : favoriser l’accès à l’internet et à la
connaissance, développer le programme e-gouvernement, améliorer l’informatisation destinée aux petites et
moyennes entreprises afin d’accroître leur productivité, et soutenir les acteurs TI locaux ou exerçant en offshore.
20
l’État, à la sureté publique, aux intérêts monétaires de l’État ou à la répression des

infractions pénales » (CoE, Convention 108, Art.9) 43.
Il participe également au projet Action Globale sur la Cybercriminalité (GLACY) de

l’Union européenne et du Conseil de l’Europe. Ce projet a pour objectif «de permettre
aux autorités judiciaires pénales de s’engager dans la coopération internationale en
matière de cybercriminalité et de preuve électronique sur le fondement de la Convention
de Budapest sur la cybercriminalité. »
Il s’agit entre autres de mobiliser les responsables politiques, harmoniser la législation,
renforcer le partage d’information, la formation judiciaire, et les moyens des organes de
répression.
Le Maroc applique les dispositions de la déclaration universelle des droits de

l’homme du 10 décembre 1948 ainsi que le pacte international relatif aux droits civile
et politique.
Ce Pacte est considéré comme une étape importante de l’action de la communauté

internationale pour promouvoir les droits de l’Homme.
Parmi ses principales dispositions, on retrouve le droit à la vie privée. Son article
17 reprend in extenso l’article 12 de la Déclaration des droits de l’Homme.
Comme l’ensemble des pays signataires de ce Pacte, le Maroc (qui l’a signé le 19 janvier
1977 et l’a ratifié le 3 mai 1979) s’est engagé à œuvrer pour le respect de
ses engagements.
Paragraphe 2 : Protection complétée par les acteurs institutionnels
I- La Commission nationale pour le contrôle de la protection des

données personnelles (CNDP)
La CDNP a été instaurée par la loi 09-08 du 18 février 2009. Elle a pour prérogative
générale de mettre en œuvre et de veiller au respect des dispositions de la loi 09-08 et
des autres textes de références en matière de protection des données à caractère
personnel. La CNDP est composée de :
- un président nommé par Sa Majesté le Roi,
43
COUNCIL OF EUROPE - Convention pour la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel
21
- six membres, nommés également par Sa Majesté le Roi, suite à une proposition du
Premier ministre (deux membres), du Président de la Chambre des représentants (deux
membres), du président de la Chambre des conseillers (deux membres).
Les membres de la commission sont désignés pour une période de cinq ans, renouvelable
une seule fois. 44
Plus précisément, les missions de la CNDP sont les suivantes :
Information et sensibilisation :
La CNDP mène auprès des individus, des organismes et des institutions publiques et
privées des activités de sensibilisation visant à renforcer la connaissance de leurs droits
et obligations en matière de protection des données personnelles. Dans ce cadre, la
CNDP a mis à disposition un portail électronique actualisé régulièrement, produit des
brochures d’information, des spots pour la radio et la télévision, et une émission radio
hebdomadaire. La CNDP accompagne également les acteurs concernes dans la mise en
conformité de leurs procédures de traitement des données personnelles. La priorité est
en général donnée aux secteurs qui traitent le plus de données personnelles (ex:
télécommunications, banques, assurances, centres d’appel, sites de vente en ligne,
santé).
Conseil et proposition :
La CNDP a pour rôle de conseiller tous les acteurs publics actifs dans le domaine de la
protection des données personnelles (gouvernement, parlement, administration). Elle
peut donner son avis sur les projets de loi et de règlements, présenter au gouvernement
des propositions de législation, ou encore aider à préparer la position du Maroc lors de
négociations internationales en la matière.
Protection et traitement des plaintes :

La CNDP a pour rôle de traiter les plaintes des citoyens relatives aux violations de leur
droit à la protection des données personnelles. La majorité́ des plaintes est reliée à la
publicité́ abusive, aux spams, vidéosurveillance, etc.
Le nombre de plaintes traitées a significativement augmenté entre 2011 et 2015 : une
plainte en 2011 contre 355 en 2015. La CNDP traite également les déclarations et les
demandes d’autorisation des responsables du traitement des données personnelles. Elle
peut par exemple autoriser la conservation des données au-delà de la durée prévue et
délivrer l’autorisation de traiter certaines catégories de données considérées comme
sensibles. Enfin, la CNDP tient le registre national de la protection des données
44
Site officiel du CNDP, consultable sur https://www.cndp.ma/fr/cndp/qui-sommes-nous/commision.html
22
personnelles. Ce dernier contient par exemple la liste les fichiers traités par les autorités
publiques et les autorisations de traitement délivrées. 45
Contrôle et investigation :
La CNDP dispose de pouvoirs d’investigation et d’enquête lui permettant de contrôler
et de vérifier que les traitements des données personnelles sont effectués conformément
à la loi. Dans ce but, les agents de la CNDP peuvent accéder directement à tous les
éléments intervenant dans les processus de traitement (les données, les équipements, les
locaux, les supports d’information, etc.).
Ces contrôles peuvent aboutir à des sanctions administratives, pécuniaires ou pénales.
Veille juridique et technologique :

La CNDP surveille, étudie et analyse les tendances et les mutations technologiques,
économiques, juridiques et sociétales pouvant affecter la protection des données
personnelles au Maroc.
II- La Direction Générale de la Sûreté nationale et la Direction

Générale de la Sécurité des Systèmes d’Information
 La Direction Générale de la Sûreté Nationale
La Direction Générale de la Sûreté Nationale (DGSN) a pris plusieurs mesures afin de

lutter contre les crimes liés aux NTIC. Elle a notamment créé plusieurs structures au
niveau central, dont le Service de lutte contre la criminalité liée aux Nouvelles
Technologies ainsi que le Service de lutte contre la cybercriminalité, tous les deux liés
à la Police Judiciaire. Au niveau décentralisé, 29 brigades spécialisées et 4 laboratoires
régionaux ont été mis en place. Enfin, plusieurs avancées ont eu lieu en matière de
ressources humaines et matérielles : la DGSN recrute de plus en plus de profils
spécialisés en cybercriminalité et cyberdéfense et a renforcé son équipement afin que ce
dernier soit adapté aux exigences de l’informatique légale 46.
45
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc.
46
Le terme « informatique légale » est une adaptation de l’anglais « digital forensics». Il fait référence à
l’ensemble des connaissances et méthodes qui permettent, dans le cadre d’enquêtes judiciaires, de collecter,
conserver et analyser des preuves issues de supports numériques (ordinateurs, smartphones).
23
Lors du séminaire des 19 et 20 octobre 2015, une représentante de la DGSN a fourni

un aperçu des infractions les plus courantes au Maroc pouvant mettre à mal la protection
des données personnelles des citoyens. Il s’agit notamment :
- des atteintes aux personnes (y compris menace et extorsion qui ont fortement augmenté
depuis 2013),
- des fraudes bancaires,
- des attaques aux systèmes d’information (généralement du type déni-de-service).
 La Direction Générale de la Sécurité des Systèmes d’Information
Créée en 2011, la Direction Générale de la Sécurité des Systèmes d’Information a pour

mission de :
- coordonner entre les différents ministères pour l’élaboration de la stratégie nationale

de la sécurité́ des systèmes d’information,
- proposer des normes et standards de sécurité et gérer les autorisations liées à
l’utilisation des certificats électroniques,
- assister et conseiller les infrastructures publiques et privées à l’instauration de normes
de sécurité des systèmes d’information,
- mettre en œuvre les audits de sécurité des institutions publiques,
- mettre en place un système de veille, d’interception et de réponse aux attaques sur les
infrastructures informatiques du pays et coordonner la réponse aux incidents,
- assurer la veille technique en sécurité pour anticiper les attaques et proposer les
améliorations adéquates,
- proposer des cycles de formations et de sensibilisation à la sécurité́ des systèmes au
profit des employés des administrations et institutions publiques. 47
47
24
Paragraphe 3 : Défis sur le plan juridique et institutionnel
I- Défis sur le plan juridique
Comme évoqué précédemment, le Maroc a adopté une loi sur la protection des données
personnelles dans le but de mettre en conformité sa législation nationale avec ses
engagements internationaux.
En outre, il convient de préciser qu’à ce jour seuls trois types de fichiers concernant des
données à caractère personnel sont encadrés par la loi, à savoir :
- la carte nationale d’identité électronique instituée par la loi 35-06,

- la fiche anthropométrique créée en 1925,
- le casier judicaire.
Afin de prévenir la collecte et le traitement abusif de données à caractère personnel par

les autorités publiques ou des entités privées, il est nécessaire que la règlementation soit
étendue à d’autres types de fichiers. Par exemple, l’intervention du législateur parait
nécessaire pour combler le vide en matière de biométrie, de surveillance et de
géolocalisation. A ce propos, et dans le cadre de ses compétences, la CNDP a émis trois
délibérations :
- La délibération n°478-2013 portant sur les conditions nécessaire à l’utilisation des

dispositifs biométriques pour le contrôle d’accès,
- La délibération n° 350-2013 du 31 Mai 2013 portant sur les conditions nécessaires
à la mise en place d’un système de vidéosurveillance dans les lieux de travail et
dans les lieux privés communs,
- La délibération n°17-2014 portant sur l’utilisation de géolocalisation de véhicules
utilisés par des employés.
Dans le cadre de leur métier, les avocats sont parfois mis dans la confidence de
certaines informations sensibles pouvant concerner par exemple la sécurité de l’Etat.
Il convient de se demander si l’avocat doit dénoncer son client ou bien respecter le
secret professionnel afin de protéger ce dernier. Les médecins rencontrent des difficultés
similaires étant donné que certaines informations à caractère personnel peuvent avoir un
impact social.
25
Par exemple, les patients séropositifs ne peuvent pas occuper certaines positions
militaires ou civiles et se retrouvent marginalisées si l’information circule. Le dilemme
est ainsi de protéger la société d’un côté, et le patient lui- même de l’autre. 48
 Défis relatifs à l’application de la Convention 108 et de la Convention de

Budapest du Conseil de l’Europe 49
La mise en œuvre de la Convention 108 du Conseil de l’Europe et de son Protocole

additionnel au Maroc va nécessiter plusieurs réformes juridiques et institutionnelles.
Tout d’abord et comme déjà évoqué auparavant, la loi 09-08 exclut les données
recueillies dans le cadre des activités de défense et de sécurité de son champ
d’application. La loi devra donc être modifiée pour être conforme à la Convention 108.
De plus, le Maroc a entamé le processus d’adhésion à la Convention de Budapest. Avant
de pouvoir la ratifier, le Royaume doit achever la mise en place de l’Unité d’enquête
spécialisée et procéder à certains amendements législatifs, notamment dans le Code de
Procédure Pénale.
Sur le plan opérationnel, la mise en œuvre des deux Conventions nécessite de mettre
en place des garde-fous afin d’assurer que les interventions et pouvoirs des autorités
policières et judiciaires respectent le principe de proportionnalité (gradation des
mesures). Il s’agira également de renforcer :
- les moyens humains et financiers mis à disposition dans ce domaine.

- la coopération entre les différents services de sécurité.
- la formation des policiers, notamment pour l’enregistrement des plaintes relatives à la
protection des données personnelles.
- la formation judiciaire,
- les partenariats publics-privés (ex : conditions de conservation des données par le
secteur privé, modalités d’accès à ces données),
- la protection des enfants et des groupes à risques (minorités ethniques, religieuses).
48
49
La Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres
réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude
liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il
contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et
l'interception.
26
II- Défis sur le plan institutionnel
La création de la CNDP représente une grande avancé en matière de protection de la vie

privé des individus et de la promotion des libertés et droits fondamentaux de l’homme.
Pour protéger ses acquis et s’intégrer pleinement dans l’ère numérique, cette
dernière doit faire face à un défi majeur qui lui imposera une approche nouvelle.
Elle doit à la fois assumer pleinement son rôle d’autorité de contrôle et suivre le
développement des nouvelles technologies. Et ce, non seulement dans la promotion de
l’économie numérique marquée par une concurrence internationale sans précédent, mais
également sur le plan éthique en protégeant la vie privée des individus installés et vivant
au Maroc afin de garantir le traitement de leurs données personnelles dans un cadre
juridique légal. Ce défi est basé sur une stratégie clairement définie qui mettra en place
des outils qui lui assureront une mise en œuvre rigoureuse. Cette boîte à outils, dont le
fondement existe déjà, doit être complétée et mise en adéquation, et ce en collaboration
avec les professionnels nationaux et étrangers. Les manuels de procédures, les contrôles,
la sensibilisation ou encore les modules de formation dédiés, doivent être mis au service
de la conformité à la loi 09-08.50
La CNDP doit s’adapter à la transformation sociale qu’engendrent les nouveaux

moyens de communication et proposer aux utilisateurs des solutions pédagogiques pour
un usage non seulement libre, mais également responsable et maîtrisé. Cependant, le
pilotage de la conformité est, et restera, un axe important dans la stratégie de la CNDP.
D’où la nécessité de se rapprocher davantage des différents acteurs publics et privés

pour mieux cerner la nature de leurs activités et de leurs difficultés dans le grand chantier
de la régionalisation que le Maroc souhaite mettre en place. Il est donc primordial de
construire des relais associant et responsabilisant ces acteurs, dans l’objectif de partager
avec eux la charge liée au processus de la mise en conformité et à la régulation
qu’impose l’ère numérique.
Cette évolution doit correspondre aussi à une prise de conscience de la part des
pouvoirs publics nationaux à l’égard des enjeux de la protection des données à caractère
personnel. C’est en assurant à la CNDP l’appui politique indispensable, en la dotant de
moyens humains et matériels en vue de faire face aux défis précités, que le Maroc
profitera pleinement des avantages qu’offre l’ère numérique.
50
Association des Utilisateurs des Systèmes d’Information au Maroc en collaboration avec la société SOLUCOM,
Livre Blanc Données à caractère personnel : Quels enjeux et comment se préparer à la loi 09-08 ?
27
En effet il est nécessaire de renforcer la bonne gouvernance au sein des institutions,

notamment de la CNDP. Tout d’abord, l’Instance devrait disposer de ressources
financières et humaines suffisantes. La Commission dispose à ce jour de sept membres,
mais cet effectif semble trop faible face à la charge de travail (ex : 17 membres dans les
commissions françaises et tunisiennes de protection des données personnelles).
Et devrait apprendre rapidement un nouveau métier, suivre le rythme effréné des
nouvelles technologies, tout en répondant professionnellement aux requêtes et en tentant
d’inculquer une nouvelle culture aux citoyens.
Si la CNDP dispose d’une stratégie de sensibilisation (ex : rubriques radiodiffusées,

conventions signées avec certains secteurs), ses activités de communication externe ont
été insuffisantes en raison du manque de ressources humaines et financières auquel elle
fait face.
Il s’agit donc de remédier à ces manques afin de renforcer la visibilité de la CNDP.

Les citoyens devraient par exemple mieux comprendre le cadre dans lequel elle opère
(champ d’application de la loi) et la procédure pour recourir à ses services (déposer une
plainte, demander un conseil, etc.).
SECTION II : PROTECTION JURIDIQUE A L’ECHELLE

INTERNATIONALE (le droit comparé)
Une construction juridique qui s’adapte au fur et à mesure aux évolutions des
technologies de l’information et de la communication
Paragraphe 1 : Les données personnelles dans le droit comparé
I- Le modèle français
En adoptant, le 6 janvier 1978, une loi relative à l’informatique, aux fichiers et aux
libertés, la France marquait sa volonté de protéger les données personnelles face aux
dangers que leur mise sur ordinateur fait courir à la vie privée. Était clairement refusée
une informatisation sauvage et liberticide permettant de surveiller l’individu dans ses
moindres faits et gestes. Ce n’était pas la première législation en la matière, mais c’est
une des mieux conçues et des plus complètes pour l’époque. L’article premier de la loi
témoigne éloquemment de ses ambitions : « L’informatique doit être au service de
28
chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération

internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de
l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Le dispositif protecteur institué repose sur de nouvelles règles à la charge des

ficheurs et de nouveaux droits accordés aux fichés. La responsabilité principale de la
protection revient cependant à une autorité administrative indépendante créée
spécialement à cet effet, la Cnil 51. Cette autorité doit veiller au respect d’un certain
nombre de principes de finalité, de transparence ou de limitation dans la durée de
conservation des informations, notamment au moment de la création des fichiers
informatisés. Plus généralement, son statut et ses prérogatives doivent lui permettre
d’éviter que l’informatisation porte atteinte à la vie privée des personnes.52
En France, si la Déclaration des droits de l’homme de 1789 reconnaît un droit à la

sûreté, il faut l’entendre essentiellement comme une protection de l’individu contre les
abus du pouvoir. Ce n’est qu’en 1970 que fut inséré dans l’article 9 du Code civil, le
principe que « chacun a droit au respect de sa vie privée ».
Enfin, c’est en 1999, lors de la discussion de la loi sur la couverture maladie

universelle, que le Conseil constitutionnel a rattaché le droit à la vie privée à l’article 2
de la Déclaration de 1789 (« la liberté proclamée par cet article 2 implique le respect de
la vie privée »), lui donnant ainsi une portée constitutionnelle. Le droit à la protection
de la vie privée est donc particulièrement récent, et sa place dans la hiérarchie des
normes est fragile.
Il reste à donner une définition de la « vie privée ». Or, cette notion n’est pas précisée
par le droit. C’est donc par une construction progressive de la jurisprudence que l’on
constate, au gré des jugements, que ce concept peut englober aussi bien le droit à
l’intimité et le droit au secret des correspondances écrites, téléphoniques et
électroniques, que la protection contre l’informatique, voire le droit à l’image (qui est
pourtant plutôt d’ordre patrimonial).
À partir du 25 mai 2018, le règlement européen 2016/679 (règlement général sur la

protection des données, RGPD) remplace une grande partie des dispositions de la loi de
1978, avec pour objectif de faire face aux évolutions technologiques et de permettre une
51
Commission nationale de l’informatique et des libertés
52
Dans Hermès, La Revue 2009/1 (n° 53)
29
protection des données personnelles plus homogène et plus efficace au niveau

européen. 53
Ce nouveau cadre juridique renforce les droits de chaque citoyen européen sur la
protection de ses données personnelles et responsabilise les acteurs traitant ces données.
Il s’applique aux entreprises, aux organismes publics et aux associations quelles que
soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de
personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère
d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.
Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui
traitent les données de citoyens européens. 54
Ce sont les autorités indépendantes de chaque Etat (en France, la CNIL) qui
contrôlent l’application de la législation relative à la protection des données. Elles sont
dotées de pouvoirs d’enquête et peuvent imposer des mesures correctrices, en cas
d’infraction. Elles fournissent des conseils d’experts sur les questions liées à la
protection des données et traitent les réclamations introduites relatives à des violations
du Règlement général sur la protection des données et des législations nationales en la
matière.
Jusqu’à aujourd’hui, la CNIL 55 était relativement tolérante à l’égard des entités non
conformes, privilégiant systématiquement une démarche d’accompagnement, via des
échanges constructifs aboutissant à la régularisation amiable, plutôt que l’application
immédiate des sanctions financières en cas d’écart avec les dispositions contraignantes
du RGPD. Pour accompagner les organismes dans la compliance, la CNIL a
régulièrement publié tout au long de l’année sur son site web des recommandations, des
conseils et des outils concrets pour aider les entreprises à se mettre en conformité et à
maîtriser les grands principes du RGPD.
Ainsi, la CNIL propose des modèles de registre des traitements, des exemples types
de mentions d’informations, ou encore l’accès à un logiciel libre 56 pour réaliser des
analyses d’impacts. Elle publie des référentiels 57, des kits de bonnes pratiques 58 ou
encore des fiches pratiques classées par thème pour encourager les entités à engager une
53
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018 p 46.
55
Commission Nationale de l’Informatique et des Libertés.
56
CNIL, site officiel, Analyse d’impact : la version 2.0 de l’outil PIA est disponible - 06 décembre 2018
57
CNIL, site officiel, Gestion des ressources humaines et des alertes professionnelles : la CNIL lance une
consultation publique sur deux futurs référentiels - 11 avril 2019
58
CNIL, site officiel, Développeurs : la CNIL met en ligne un kit de bonnes pratiques - 13 mai 2019
30
démarche de conformité et les faire progresser dans leur maturité numérique 59. La CNIL
propose également des plans d’actions de mise en conformité par étapes, visant à
permettre aux entités de toutes tailles (y compris les start-ups 60) de mettre en œuvre la
réglementation rapidement avec un minimum de moyens et de ressources.
II- Le modèle canadien
Au canada, la charte canadienne des droits et libertés est une loi fondamentale
garantissant la protection des droits de la personne en vertu de la Constitution. Cela
comprend le droit à la vie, à la liberté et à la sécurité de sa personne en vertu de l’article
7, le droit à la protection contre les fouilles, les perquisitions ou les saisies abusives en
vertu de l’article 8 et l’égalité devant la loi en vertu de l’article 15. Toutes les lois et
mesures gouvernementales d’ordre fédéral et provincial doivent se conformer à la
Charte, que les tribunaux peuvent faire respecter. Intégrée dans la Constitution du
Canada, la Charte prévaut sur les autres lois et définit les limites de l’action
gouvernementale.
Au niveau fédéral, le cadre de protection de la vie privée du Canada repose sur deux lois
centrales en la matière. La Loi sur la protection des renseignements personnels et les
documents électroniques (LPRPDE) 61 constitue l’assise juridique pour le secteur privé,
en établissant la manière dont les entreprises doivent protéger et gérer les
renseignements personnels dans le cadre d’activités commerciales. La Loi sur la
protection des renseignements personnels constitue l’assise juridique pour la collecte,
la conservation, l’utilisation et la communication de renseignements personnels par les
institutions gouvernementales qui lui sont assujetties.
Toute activité gouvernementale, qu’elle soit autorisée par la loi ou la common law,
est assujettie aux restrictions de la Charte. En outre, le traitement des renseignements
personnels par le gouvernement obéit toujours à un cadre de lois du secteur public.
Certaines de ces lois confèrent au gouvernement des pouvoirs spécifiques lui permettant
de recueillir, d’utiliser, de conserver ou de communiquer des renseignements personnels
à des fins particulières.
De la magistrature indépendante émane la jurisprudence servant à interpréter les
pouvoirs publics et les droits civils. Les particuliers ont accès à des mécanismes de
surveillance spécialisés tels que le Commissariat à la protection de la vie privée du
Canada et le Bureau du vérificateur général du Canada, ainsi qu’à plusieurs organes
59
CNIL, site officiel - RGPD : passer à l'action Les méthodes, les outils et les documents de référence pour engager
une démarche de conformité au RGPD, et faire progresser votre organisme dans sa maturité numérique.
60
Revue Village justice , Un an après l'entrée en vigueur du RGPD : bilan et perspectives -Donatienne Blin ,
Avocat 24 JUIN 2019
61
Les lois fédérales canadiennes se trouvent à http://laws.justice.gc.ca/fra/. 
31
chargés d’examiner les activités des principaux organismes de sécurité nationale (p. ex.
le Comité de surveillance des activités de renseignement de sécurité et la Commission
civile d’examen et de traitement des plaintes relatives à la Gendarmerie royale du
Canada). 62
Les ministères sont tenus d’exercer les pouvoirs qui leur sont conférés par la loi dans le
respect des politiques et des lignes directrices établies par le président du Conseil du
Trésor, en sa qualité de ministre responsable, et, le cas échéant, de tout règlement
promulgué en vertu d’une loi.
En résumé, le Canada dispose à la fois d’un cadre de protection des données régissant
le secteur privé et d’un tel cadre régissant le secteur public, que l’on comprendra mieux
sachant que, dans système juridique canadien, les activités du gouvernement sont
assujetties à la primauté du droit, aux exigences de la raisonnabilité, au respect de limites
réglementaires équilibrées, aux institutions de surveillance et à des mécanismes internes
de conformité.
 Loi canadienne régissant la protection des renseignements personnels dans

le secteur privé (LPRPDE)
La Loi sur la protection des renseignements personnels et les documents

électroniques (LPRPDE), la loi fédérale du Canada protégeant la vie privée et les
données dans le secteur privé, établit l’équivalence juridique pour les documents
électroniques. Sa partie 1 fixe les règles juridiques régissant la protection des
renseignements personnels au Canada. La LPRPDE s’applique à toute organisation qui
recueille, utilise ou communique des renseignements personnels dans le cadre
d’activités commerciales. Elle ne s’applique ni aux organisations du secteur public, qui
sont régies par la Loi sur la protection des renseignements personnels, ni aux
organisations régies par le secteur public à l’échelle provinciale. La LPRPDE fixe des
limites à la collecte, à l’utilisation et à la communication de renseignements personnels
par les organisations. Elle établit également les circonstances restreintes et précises dans
le cadre desquelles les organisations communiquent des renseignements personnels aux
institutions gouvernementales et aux organismes d’application de la loi. L’application
de la LPRPDE se fonde sur le modèle de l’ombudsman, les mécanismes de surveillance
et de recours relevant du Commissariat à la protection de la vie privée du Canada
(CVPC) et de la Cour fédérale. En sa qualité d’organisme fédéral chargé de la protection
des données, le CVPC a pour mission de protéger et de promouvoir le droit des
personnes à la vie privée.
62
PROTECTION  DES DONNEES PERSONNELLES - ANALYSE COMPAREE DES LEGISLATIONS ET DES
PRATIQUES /DANS NEUF PAYS EUROPEENS - dans le contexte du cadre juridique européen- page 18
32
La LPRPDE, entrée en vigueur le 1er janvier 2001, est un régime avancé et

hautement respecté de protection de la vie privée. Elle assure un équilibre entre le droit
à la vie privée des individus et le besoin légitime des entreprises de recueillir, d’utiliser
ou de communiquer des renseignements à des fins raisonnables. Elle se fonde sur une
série de dix principes de la vie privée 63 qui ont résisté à l’épreuve du temps. À l’instar
des lignes directrices de l’Organisation de coopération et de développement
économiques (OCDE) en matière de vie privée 64, qui lui ont servi de fondement, la
LPRPDE est un cadre s’articulant autour de principes qui est demeuré intact; seules
quelques retouches législatives bien précises y ont été apportées pour en améliorer
l’efficacité.
Le Québec, l’Alberta et la Colombie‐Britannique ont adopté leurs propres lois de

protection des renseignements personnels dans le secteur privé. Celle du Québec a été
jugée essentiellement similaire à la LPRPDE en 2003, tandis que celles de l’Alberta et
de la Colombie‐Britannique l’ont été en 2004. Des lois sur la protection des
renseignements personnels dans le secteur de la santé ont été promulguées en Ontario,
au Nouveau‐Brunswick, à Terre‐Neuve‐et‐ Labrador et en Nouvelle‐Écosse et ont été
jugées essentiellement similaires en 2005, en 2011, en 2012 et en 2016 respectivement.
 Loi sur la protection des renseignements personnels numériques (2015) :
La Loi sur la protection des renseignements personnels numériques (2015) a modifié la

LPRPDE de trois manières importantes par l’ajout :
 De mesures pour protéger les consommateurs
 De dispositions liées aux exceptions concernant le consentement 
 De mesures d’accroissement de la conformité. Protéger les consommateurs.
Nouvelle section 1.1 sur la notification des atteintes à la protection des données:
Au nombre des modifications apportées en 2015 à la LPRPDE figure une nouvelle
section intitulée « Atteintes aux mesures de sécurité », qui fait état des exigences de
signalement par les organisations de toute violation aux renseignements personnels
découlant d’une atteinte aux mesures de sécurité présentant un « risque réel de préjudice
grave à l’endroit de l’intéressé ». Les organisations devront déclarer toute atteinte aux
63
Les dix principes énoncés à l’annexe 1 de la LPRPDE sont : la responsabilité, la détermination des fins de la
collecte des renseignements, le consentement, la limitation de la collecte, la limitation de l’utilisation, de la
communication et de la conservation, l’exactitude, les mesures de sécurité, la transparence, l’accès aux
renseignements personnels et la possibilité de porter plainte à l’égard du non ‐respect des principes. 
64
Lignes directrices de l’OCDE en matière de vie privée, 2013 : https://www.oecd.org/fr/sti/ieconomie/privacy‐
guidelines.htm.
33
mesures de sécurité ayant trait à des renseignements personnels au commissaire à la

protection de la vie privée du Canada et en aviser les personnes touchées. Ces
changements donneront davantage de pouvoirs aux consommateurs et encourageront les
entreprises à se doter de meilleures pratiques de sécurité de l’information.
Tenue d’un registre des atteintes à la protection des données :

Les organisations devront tenir et conserver un registre de toutes les atteintes aux
mesures de sécurité qui ont trait à des renseignements personnels dont elles ont la
gestion et donner accès au registre sur demande au commissaire à la protection de la vie
privée. Celui‐ci pourra ainsi remplir le mandat de surveillance qui lui incombe et veiller
à ce que les organisations déclarent les atteintes susceptibles d’entraîner un préjudice.
Consentement amélioré :
De nouvelles exigences entourant l’obtention du consentement à la collecte, à
l’utilisation ou à la communication de renseignements personnels ont été adoptées afin
de protéger les personnes vulnérables, en particulier les enfants. Elles veillent à ce que
les organisations souhaitant recueillir des renseignements personnels en communiquent
clairement et intelligiblement le but aux utilisateurs cibles.
 Loi canadienne régissant la protection des renseignements personnels dans

le secteur public (Loi sur la protection des renseignements personnels) :
La Loi sur la protection des renseignements personnels s’applique à tous les ministères
et à la plupart des organismes du gouvernement fédéral de même qu’aux sociétés d’État
et à leurs filiales à cent pour cent. Elle limite la collecte de renseignements personnels
par les institutions gouvernementales à ceux liés directement à leurs programmes ou
activités. La Loi exige des institutions gouvernementales qu’elles recueillent des
renseignements personnels à des fins administratives directement auprès des individus
autant que possible et qu’elles informent ceux‐ci de l’objet de cette collecte. Elle exige
également de ces institutions qu’elles utilisent les renseignements personnels aux fins
auxquelles ils ont été recueillis, pour les usages qui sont compatibles avec ces fins, avec
le consentement de l’individu à qui ils se rapportent ou pour les fins auxquelles ils
peuvent être communiqués en vertu de la Loi.
La Loi permet aux institutions gouvernementales de communiquer des renseignements

personnels avec le consentement de l’individu concerné ou sous réserve d’un ensemble
restreint de permissions de divulgation, qu’elle énonce. Elle fixe les règles de
conservation et de retrait après usage de certains renseignements personnels auxquelles
les institutions gouvernementales doivent se conformer. Elle donne aux citoyens
34
canadiens, aux résidents permanents et aux personnes présentes au Canada le droit de

demander l’accès aux renseignements personnels que les institutions gouvernementales
détiennent à leur sujet, sous réserve d’exemptions et d’exclusions. La Loi établit aussi
les règles de transparence en vertu desquelles le gouvernement doit traiter les
renseignements personnels. Par exemple, elle exige que les institutions
gouvernementales tiennent des fichiers de renseignements personnels décrivant les
renseignements personnels qui relèvent d’elles et qui ont été utilisés, sont utilisés ou
sont disponibles à des fins administratives. La Loi exige aussi que le président du
Conseil du Trésor publie ces fichiers de renseignements personnels.
La Loi sur la protection des renseignements personnels est l’un des éléments du régime
global de protection de la vie privée dans le secteur public au Canada. Des règles plus
précises peuvent figurer dans d’autres lois et règlements fédéraux selon la fonction
gouvernementale – et le type de renseignements.
III- Le modèle allemand
L’Allemagne a un développement du droit à la vie privée unique en Europe. Son

interprétation par la cour constitutionnelle a eu un impact majeur sur la législation sur
la protection des données et aussi, dans une certaine mesure, sur celles des autres pays
européens.
 La constitution et la protection des données personnelles 65
La confidentialité des communications a été incluse dans la Constitution allemande à

l'article 10 dans la version adoptée en 1949. Mais la constitution allemande
(Grundgesetz für die Bundesrepublik deutschland) a également inclus dans les premiers
articles du texte (articles 1 et 2 ) le droit à la liberté individuelle (persönlichkeitsrecht).
 Transposition des directives européennes
La loi fédérale allemande sur la protection des données a été révisée à plusieurs reprises
au fil des ans, avec une révision majeure en 2002 afin de transposer la directive
européenne sur la protection des données. La modification la plus récente a été faite le
15 novembre 2006. L'objectif général de cette loi est de protéger les personnes physiques
contre la mauvaise utilisation de leurs données personnelles. La loi couvre la collecte,
le traitement et l'utilisation de données personnelles par les autorités publiques fédérales
et les administrations d’Etat (tant qu'il n'y a pas de régulation par l’Etat et dans la mesure
où les lois fédérales s'appliquent), et par les organismes privés, s’ils s'appuient sur des
65
35
systèmes de traitement des données ou des systèmes de classement non automatique

pour un usage commercial ou professionnel. Tous les länder allemands ont adopté une
législation dans le domaine de la protection des données qui transpose la directive
européenne de protection des données. La législation des länder couvre l’administration
publique régionale, mais aussi la conformité des entreprises privées avec la
Bundesdatenschutzgesetz (BdsG).
 Spécificités nationales
Le droit à la liberté individuelle a été́ interprété par la cour fédérale constitutionnelle

allemande comme un droit de « l'autodétermination informationnelle ». Dans une
décision historique de 1983 la cour a considéré comme inconstitutionnelles certaines
dispositions de la loi allemande de recensement qui permettaient au gouvernement
fédéral de recueillir des renseignements personnels et de les partager avec les
collectivités locales et les gouvernements des länder. Le tribunal a noté qu’il est
maintenant possible avec les évolutions techniques de créer un profil de personnalité
complète avec le traitement automatisé des données. Ainsi, la Cour a souligné : « que
les personnes qui ne pourraient pas évaluer ou vérifier avec certitude les informations
détenues sur elles par certains secteurs de leur environnement social seraient
particulièrement gênées dans leur capacité de décision ou d’intervention. » le droit à «
l'autodétermination informationnelle » s'oppose à un ordre social et son ordre juridique
sous-jacent dans lequel les citoyens pourraient ne plus savoir qui, quoi, quand et dans
quelles situations on les connaît. Encore plus récemment, en février 2008, la cour a rendu
un nouveau jugement historique, constituant un nouveau « droit fondamental à la
confidentialité et l'intégrité des informations et des systèmes technologiques » dans le
cadre des droits généraux individuels consacrés par la constitution allemande. les
systèmes d'information et technologiques qui sont protégés par le nouveau droit sont
tous les systèmes qui « seuls ou dans leur interconnexion technique peuvent contenir
des données personnelles de l’individu concerné dans une portée et une multiplicité́ tels
que l'accès au système permet d'obtenir un aperçu de parties pertinentes du
comportement d'une personne ou même de rassembler une image significative de sa
personnalité. ». Les débats sur la protection de la vie privée et l'informatique ont
commencé en Allemagne dans les années 1960 et la première législation de protection
des données fut adoptée dans le land de Hesse en 1970. Elle a également abouti à la
création d'un commissaire à la protection des données. Après de longs débats au sein du
parlement allemand et dans l'espace public, la loi fédérale allemande de protection des
données (BdsG) a été adoptée en janvier 1977. 66
66
36
 Les autorités nationales de protection des données en Allemagne :

 Mise en place de la DPA
L’autorité fédérale allemande de protection des données, telle que définie par le BDSG,
est le Commissaire fédéral à la protection des données et à la liberté de l'information
(Bundesbeauftragter für den datenschutz) 67, compètent pour les deux législations
fédérales de protection des données - l'administration publique fédérale et le secteur
privé de compétence fédérale - et pour la législation d'accès aux documents publics.
L’autorité est considérée comme un organisme fédéral indépendant et publie un rapport
semestriel. Elle est gérée par un commissaire qui est élu par le parlement allemand
(Bundestag) sur proposition du gouvernement fédéral pour un mandat de cinq ans. Le
commissaire est indépendant dans son travail et ne reçoit pas d'instructions au sujet de
son travail. La législation spécifique des Länder pour la protection des données prévoit
un commissaire dans chaque land, dont la fonction est la mise en œuvre de la législation
régionale. Par conséquent, il y a aussi 16 commissaires à la protection des données
régionales en Allemagne. Certains sont compétents pour la législation du land sur la
protection des données du secteur public et du secteur privé (et parfois pour l'accès à la
législation des documents publics) tandis que dans d'autres länder le contrôle de la
législation sur la protection des données dans le secteur privé est entre les mains d’un
officier de protection de données interne en relation avec le département des affaires
intérieures du land. Il y a une étroite collaboration entre les commissaires fédéraux et
régionaux qui se réunissent régulièrement pour discuter de questions d'intérêts communs
et pour adopter les résolutions des conférences nationales de protection des données. Ils
se réunissent aussi régulièrement dans ce qu'on appelle le « Kreis düsseldorfer », une
association informelle des principaux acteurs de la protection des données en
Allemagne, qui traite de l'application des principes de protection des données par le
secteur privé.
 Les missions
Ses principales attributions sont prévues dans le BDSG. Il vérifie la conformité de
l'administration fédérale avec la loi fédérale sur la protection des données, mais peut
également être impliqué dans les procédures législatives en donnant des avis et des
conseils sur des textes ayant potentiellement un impact sur la vie privée des citoyens. la
dpa fédérale est aussi impliquée dans les activités de sensibilisation à la vie privée.
67
Annexe 1 : Cour de justice de l’Union européenne, Grande chambre, arrêt du 5 juin 2018
37
 Activités et réalisations
Communication
La dpa fédérale a organisé des manifestations pour célébrer la journée européenne de
protection des données et à l'échelle locale a célébré le 25e anniversaire de la décision
de la cour constitutionnelle qui a créé la jurisprudence en matière d'autodétermination
de l'information.
La dpa fédérale organise également des conférences annuelles sur des sujets
d'actualité liés à la vie privée (les questions des moteurs de recherche en 2007 ; les bases
de données relatives aux télécommunications et à la révision de la directive vie privée
et communications électroniques). Certaines dpa des länder sont actives dans le domaine
de la sensibilisation à la vie privée, à commencer par des campagnes sur les différents
sujets « chauds », des guides sur la façon de protéger la vie privée et participent à des
projets européens inter secteurs sur la vie privée.
Il est également important de noter leur implication dans la création et le soutien à

l’amélioration des techniques de confidentialité. Depuis 2001, la DPA du Schleswig-
Holstein a été́ impliquée dans un projet conjoint avec l'Université́ de technologie de
Dresde, afin de créer des logiciels libres qui pourraient permettre à chaque utilisateur de
protéger sa vie privée sur internet.
Le logiciel client jap fournit une communication anonyme et non observable sur
l'internet. Jap fonctionne sur une plateforme java et est facile à installer et à utiliser, pour
permettre aux utilisateurs de l'internet néophytes de protéger leur vie privée. Elle met
également en œuvre un système de certification dans le pays et promeut de tels systèmes
au niveau de l'UE via un projet soutenu par la commission européenne dans lequel des
dpa d’autres pays sont impliqués.
Paragraphe 2 : Les directives européennes et recommandations

communautaires
D’une importance capitale dans la hiérarchie des normes européennes, la directive

impose aux Etats membres de l’Union européenne un résultat, tout en leur laissant le
choix des moyens pour y parvenir. Ces textes laissent une faible marge de manœuvre
38
aux gouvernements et imposent ainsi la volonté communautaire dans de nombreux

domaines 68
I- Les règlements de l’union européenne
 La charte des droits fondamentaux de l’Union européenne :

Concernant le respect de la vie privée et familiale, et la protection des données à
caractère personnel
 L’article 7 de la charte des droits fondamentaux de l’union européenne dispose :

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile
et de ses communications. »
 L’article 8 de la charte des droits fondamentaux de l’union européenne dispose :

1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du
consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu
par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et
d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.
 Les règlements :
Le règlement de 2013 :
Le règlement 611/2013 du 24 juin 2013 précise les formes selon lesquelles le fournisseur
de services de communications électroniques accessibles au public doit procéder aux
notifications des violations de données personnelles aux autorités compétentes et aux
abonnés ou aux particuliers. Il détaille notamment le contenu de la notification.
Le règlement de 2016 (RGPD) : Règlement (UE) 2016/679 du Parlement Européen et

du Conseil
Le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/CE (règlement général sur la protection des données)
Le règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des
données ou RGPD), applicable à partir du 25 mai 2018, a pour ambition de répondre
68
Il est à noter l’implication forte de la Commission européenne…
39
aux défis de l’évolution technologique. Il abroge et remplace la directive de 1995. Il en

reprend toutefois les grands principes, avec un certain nombre d’adaptations.
 Des règlements accompagnant l’évolution numérique :
Le dispositif juridique conçu dans les années 1970 et fondé sur une directive rédigée au
début des années 1990 reposait sur des principes fondamentaux qui sont toujours
valables, mais dont l’application n’était plus adaptée aux évolutions des dernières
années: adoption par le grand public d’Internet puis des réseaux sociaux, généralisation
du cloud computing, du big data et de l’internationalisation des données, apparition de
modèles économiques basés sur l’exploitation des données personnelles, vogue des
objets connectés et du quantified self qui démultiplient la quantité de données traitées,
ajout de fonctionnalités communicantes aux objets usuels comme les automobiles ou les
compteurs électriques…
Parmi les pistes évoquées pour redonner aux personnes le contrôle de leurs données,
figure la proposition de rendre les individus propriétaires de leurs données
personnelles 69.
Ceux qui veulent traiter les données devraient alors conclure un contrat avec le
propriétaire. Il s’agit cependant d’une fausse bonne idée, pour plusieurs raisons. Tout
d’abord, la notion de propriété ne peut pas s’appliquer aux données personnelles, car
cette notion recouvre différents droits, comme le droit de détruire la chose possédée,
dont l’application serait absurde dans ce cas : on ne peut pas « détruire » des données
personnelles comme son état civil ou son adresse.
Ensuite, même si une forme de propriété était reconnue aux individus sur leurs
données, les sociétés désireuses de s’en emparer n’auraient qu’à insérer une clause de
cession dans leurs conditions générales d’utilisation (celles que personne ne lit avant de
les signer) : le résultat serait pire qu’actuellement, puisque non seulement la collecte des
données ne serait pas diminuée, mais l’individu aurait définitivement perdu tout droit
sur les données cédées. Le droit de propriété se muerait alors en droit d’être dépossédé.
La solution actuelle, qui établit pour l’individu des droits fondamentaux incessibles, est
de loin la plus protectrice.
Par ailleurs, alors que les violations des lois sur la protection des données
personnelles se multiplient, l’action des autorités de contrôle semblait insuffisante.
69
Fabrice Mattatia et Morgane Yaïche, « Être propriétaire de ses données personnelles » (article en deux parties),
Revue Lamy Droit de l’immatériel, avril 2015, juin 2015 p 213.
40
Comme le constatait en 2011 Philippe Boucher, le journaliste auteur de l’article de 1974

sur SAFARI : « Dans cette situation, il ne me paraît pas excessif de dire que la CNIL
[…] a atteint les limites de son pouvoir.
[…] De sorte que les craintes nées avec SAFARI ont de quoi faire sourire aujourd’hui.
Mais un sourire en forme de grimace. 70»
II- Les directives européennes
La directive de 1995
La directive 95/46/CE s’applique aux traitements de données personnelles dont le
responsable est établi dans l’un des États de l’Union, ou recourt à des moyens de
traitements localisés dans l’un des États de l’Union.
Les États membres peuvent ne pas reprendre dans leur droit national certaines des
dispositions de la directive dans certains cas, notamment lorsqu’une telle limitation est
nécessaire à la sûreté de l’État, la défense ou la sécurité publique, aux recherches
pénales, à un intérêt économique important de l’État…
 Qualité des données :

Dans la continuité des principes exposés plus haut, la directive prévoit que les données
personnelles doivent être :
• traitées loyalement et licitement (c’est-à-dire en respectant la lettre et l’esprit de la loi)
• collectées pour des finalités déterminées, explicites et légitimes
• adéquates, pertinentes et non excessives au regard de ces finalités
• exactes et à jour
• conservées pendant une durée n’excédant pas celle nécessaire à la finalité ; toutefois,
elles peuvent être conservées plus longtemps si elles sont anonymisées, c’est-à-dire si
tout lien entre une donnée et la personne concernée est effacé.
 Données « sensibles » :
Le traitement de certaines catégories de données (origine raciale, opinions politiques,
syndicales, philosophiques ou religieuses, santé, sexualité, Condamnations pénales…)
est interdit, sauf exceptions.
Le traitement de données relatives aux infractions et condamnations pénales ne peut être
effectué que sous le contrôle de l’autorité publique, ou si des garanties appropriées et
spécifiques sont prévues par le droit national.
La directive de 2002, modifiée en 2006 (téléphone, Internet)
70
Philippe Boucher, cité par le site ldh-toulon.net, 2 avril 2011
41
À l’usage, il est apparu nécessaire de compléter la directive 95/46/CE de 1995 pour

harmoniser le traitement des données personnelles et leur niveau de protection dans le
secteur des communications électroniques accessibles au public (services téléphoniques
fixes et mobiles, Internet).
Ce complément fut apporté par la directive 2002/58/CE, du 12 juillet 2002, modifiée en
2006. 71
 Sécurité du réseau
La directive aborde deux aspects de la protection des données. D’une part, elle impose
au fournisseur d’un service de communications électroniques de prendre « les mesures
d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses
services » et d’informer les utilisateurs en cas de risque de violation de la sécurité du
réseau (article 4). Notons que l’obligation d’informer l’utilisateur en cas de divulgation
de données personnelles ne figure pas dans cette directive : elle figurera dans le « Paquet
Télécom » de 2009.
 Prospection commerciale :
D’autre part, concernant le démarchage publicitaire, la directive :
• impose le principe de l’obtention d’un consentement préalable à toute prospection
automatisée ; sauf à démarcher des personnes déjà clientes pour leur proposer des
produits et services analogues, mais en leur fournissant un moyen de faire cesser les
sollicitations ;
• interdit de dissimuler l’adresse réelle de l’expéditeur d’un message électronique
de prospection directe ; de ne pas indiquer une adresse valable pour faire cesser les
sollicitations.
Conservation des données de connexion et de localisation
La directive réglemente également la conservation et l’utilisation des données de
connexion (identification de l’abonné, heure de connexion, durée…) et de localisation.
Elle a été modifiée par la directive 2006/24/CE afin d’harmoniser la durée de
conservation des données générées ou traitées dans le cadre de la fourniture de services
de communications électroniques accessibles au public ou de réseaux publics de
communications. En effet, la conservation des données de trafic et de localisation est
importante pour la recherche, la détection et la poursuite d’infractions pénales. Pour ces
données, la directive prescrit une durée de conservation comprise entre six mois et deux
ans.
Notons que la directive 2006/24/CE ne s’applique pas au contenu des communications
électroniques, notamment aux informations consultées en utilisant un réseau de
communications électroniques.
71
LAFFAIRE M.-L., Protection des données à caractère personnel, Éd. d’Organisation, 2005 p 17.
42
La directive de 2009 (« Paquet Télécom »)
 Obligation de notification des violations de sécurité :

La directive 2009/136/CE a ajouté à la directive 2002/58/CE une obligation de
notification en cas de violation des données personnelles : lorsqu’un fournisseur de
services de communications électroniques accessibles au public est victime d’une
violation de données personnelles, c’est-à-dire si une violation de la sécurité a entraîné
accidentellement ou de manière illicite la perte, l’altération, la divulgation ou l’accès
non autorisé à des données personnelles traitées par ce fournisseur, celui-ci a
l’obligation d’avertir sans retard l’autorité nationale compétente.
Comme la directive 2002/58, la directive 2009/136 concerne les fournisseurs de services

de communications électroniques accessibles au public, à savoir essentiellement les
opérateurs téléphoniques fixes et mobiles, ainsi que les fournisseurs d’accès à Internet.
Un débat oppose les juristes pour savoir si les acteurs comme les cybercafés ou les hôtels
proposant Internet à leurs clients sont également concernés.
On notera par ailleurs que la directive impose d’avertir l’autorité compétente, sans
préciser laquelle. Il ne s’agit pas obligatoirement de l’autorité de protection des données
(pour la France, la CNIL). Ce peut être aussi l’autorité de régulation des télécoms (pour
la France, l’ARCEP), voire celle en charge de la sécurité si elle existe.
C’est dans le cadre de la transposition que chaque État précise à quelle autorité notifier.
Si la violation risque d’affecter négativement les données personnelles d’un abonné ou

d’un particulier, le fournisseur doit également l’avertir sans délai indu.
Une telle notification à l’abonné ou au particulier concerné n’est toutefois pas nécessaire
si le fournisseur a prouvé à l’autorité compétente que les données étaient protégées par
des mesures les rendant incompréhensibles aux personnes non autorisées.
Les autorités nationales doivent pouvoir contrôler si les fournisseurs ont satisfait à leurs
obligations de notification, et infliger des sanctions, si ce n’est pas le cas.
 Cookies :
L’utilisation de cookies par les prestataires web pour suivre, voire espionner la
navigation des internautes a engendré de nombreux débats pour en déterminer l’impact
sur la vie privée.
43
La directive 2009/136 prévoit que le stockage d’information ou l’accès à des

informations déjà stockées dans le terminal de l’utilisateur, n’est autorisé que si
l’utilisateur a donné son accord, après avoir reçu une information claire et complète,
entre autres sur les finalités du traitement.
La directive de 2016 (infractions pénales et sécurité publique) :
En parallèle au règlement 2016/679 (voir ci-après), la directive 2016/680 du 27 avril

2016 adapte la protection des personnes pour les traitements à des fins de prévention et
de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou
d’exécution de sanctions pénales, y compris la protection contre les menaces pour la
sécurité publique et la prévention de telles menaces.
En raison de la nature de ces traitements, par exemple, certains droits des personnes
concernées sont limités par rapport au droit général : droit d’information, d’accès,
d’opposition…
Une journalisation des accès aux traitements est par ailleurs exigée. Les pouvoirs des
autorités de contrôle diffèrent du droit général. Enfin, les sanctions sont laissées à
l’appréciation de chaque État membre. 72
III- Les défis inhérents à la mise en application du RGPD
« PRINCIPE D’ACCOUNTABILITY », « PRIVACY BY DESIGN », « PRIVACY BY

DEFAULT », « DPO », « PRIVACY IMPACT ASSESSMENT ». Les acteurs amenés à
traiter des données personnelles sont confrontés à de nombreuses notions dont
l'appréhension est mal aisée et ce alors que même le règlement européen relatif à la
protection des données à caractère personnel.
Le message du RGPD est fort, car la responsabilité des acteurs est accrue (« Principe
d’accountability »), ces derniers devant être à même de démontrer qu’ils traitent les
données conformément aux principes édictés dans le Règlement, avec pour corollaire
un alourdisse- ment des sanctions en cas de manquement pouvant aller de 10 à 20
millions d’euros ou de 2% à 4% du chiffre d’affaires annuel mondial total de l’exercice
précédent pour une entreprise.
Les établissements de santé privés comme publics sont naturellement concernés par
ces nouvelles obligations, puisqu’ils sont amenés à traiter tant des données personnelles,
telles que les données administratives, que des données de santé. Le traitement des
données de santé définies comme « les données à caractère personnel relatives à la
santé physique ou mentale d’une personne physique, y compris la prestation de services
72
LAFFAIRE M.-L., Protection des données à caractère personnel, Éd. d’Organisation, 2005.
44
de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »
est, aux termes de l’article 9 §1 du RGPD, interdit sauf exceptions, les Etats membres
pouvant à ce titre introduire des conditions supplémentaires.
En France, la réforme de la loi informatiques et libertés est engagée puisque le projet
de loi CNIL 3 est depuis le 6 février 2018 soumis au débat parlementaire avec, pour les
données de santé, le maintien de la même philosophie, à savoir un système
d’autorisation préalable de la CNIL pour le traitement des données de santé et dans
certains cas des formalités simplifiées par les méthodologies de référence.
 Une conformité à justifier 73

Pour autant, la mise en conformité des pratiques des établissements de santé aux
exigences du RGPD leur impose un traitement conforme aux règles de protection des
données, ce qui implique le respect de l’approche « Privacy by Default » et « Privacy
by Design », soit respectivement le principe de la protection des données dès la
conception du traitement et le respect des cinq principes suivants : finalité de traitement
déterminée et légitime, pertinence et proportionnalité des données, durée de
conservation déterminée, respect du droit des personnes et mise en place de mesures de
sécurité de nature à garantir la confidentialité des données.
Les établissements de santé doivent justifier du respect de ces règles par la tenue d’un
registre des activités de traitement, la mise en place de procédures internes de conformité
qui vont de la formation des salariés à la réalisation d’audits de conformité, en passant
par la réalisation d’analyses d’impact (« Privacy Impact Assessment »).
L’analyse d’impact doit permettre aux établissements de santé d’identifier les

traitements de données qui comportent un risque élevé pour les droits et libertés des
personnes concernées et nécessitent une autorisation préalable de l’autorité de contrôle.
En pratique, les traitements qui auront légalement été mis en œuvre avant le 25 mai
2018 n’auront pas à faire l’objet d’une analyse d’impact sauf si le traitement a été
modifié substantiellement depuis sa mise en œuvre (comme par exemple par
l’allongement de la durée de conservation des données). En tout état de cause, une
analyse d’impact devra être réalisée pour ces traitements dans les trois ans suivants la
mise en application du RGPD.
La CNIL a créé le logiciel libre PIA, outil « prêt à l’emploi » directement intégrable
dans les outils internes de l’entreprise ou de l’établissement de santé, visant à faciliter
la conduite des analyses par le responsable de traitement. Toutefois, l’adaptabilité de cet
outil aux plateformes et serveurs employés par les réseaux hospitaliers reste à
démontrer.
73
Lmt avocats , Olivier Samyn et Ghislaine Issenhuth , Les défis inhérents à la mise en application du RGPD ,
Lmt avocats -site officiel , date de consultation 2019
45
 Une conformité contrôlée par les DPD 74

Le chef d’orchestre du respect de ces mesures est le délégué à la protection des données
(DPD) ou Data Protection Officer (DPO), dont la désignation est obligatoire pour
l’ensemble des établissements de santé public et pour les établissements de santé privés
traitant des données sensibles à grande échelle.
Le DPD doit être impliqué dans le processus de décision des données, aussi sa place
dans la structure doit être soigneusement étudiée, étant précisé que les établissements
ont la possibilité de mutualiser un DPD entre plusieurs établissements. Ce dernier doit
être facilement joignable et parler la langue de l’autorité de contrôle, son positionnement
géographique en dehors de la France paraît donc difficilement envisageable.
 Une conformité imposée aux sous-traitants 75
Le respect du RGPD incombe également aux sous-traitants qui peuvent au même titre
que les responsables de traitement être condamnés en cas de manquement. Un
établissement peut avoir la qualité de sous-traitant lorsqu’il agit pour le compte d’un
tiers, comme par exemple dans le cadre des groupements hospitaliers de territoire (GHT)
qui, de par leur mission de définition des moyens et des finalités du traitement, sont les
responsables de traitement. A cet égard, la revue des contrats avec les sous-traitants
apparaît indispensable.
En conclusion, la mise en application du RGPD, qui a pour but de renforcer les droits
des personnes dont les données sont collectées, comporte de nombreux défis dans la
redéfinition des procédures internes et dans la création de nouveaux outils de
conformité.
L’effectivité de ces mesures sera suivie avec attention par la CNIL mais leur mise
en œuvre pratique semble complexe. A titre d’exemple, le droit à la portabilité des
données selon lequel les données doivent pouvoir être transmises directement d’un
établissement à un autre va être confronté à l’actuel système d’information hospitalier
qui n’apparaît pas adapté aux exigences nouvelles.
74
Lmt avocats , Olivier Samyn et Ghislaine Issenhuth , Les défis inhérents à la mise en application du RGPD ,
Lmt avocats -site officiel , date de consultation 2019
75
Lmt avocats, Olivier Samyn et Ghislaine Issenhuth , Les défis inhérents à la mise en application du RGPD , Lmt
avocats -site officiel , date de consultation 2019
46
 CHAPITRE II : LE TRAITEMENT DES DONNEES PERSONNELLES
Avant d’entamer une étude approfondie concernant le traitement des données

personnelles, il est nécessaire de définir la notion du traitement.
Le traitement est toute opération portant sur des données personnelles, quel que soit le
procédé utilisé.
Par exemple enregistrer, organiser, conserver, modifier, rapprocher avec d’autres

données, transmettre des données personnelles.
 Des fichiers mais pas seulement :

Car un traitement n'est donc pas uniquement un fichier, une base de données ou un
tableau Excel. Il peut s'agir aussi d'une installation de vidéosurveillance, d'un système
de paiement par carte bancaire ou de reconnaissance biométrique, d'une application pour
smartphone, etc.
Des traitements apparaissent et évoluent selon les innovations technologiques.
 Informatisés mais pas uniquement :

Un traitement de données à caractère personnel peut être informatisé ou non ;
Un fichier papier organisé selon un plan de classement, des formulaires papiers
nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou
chronologique sont aussi des traitements de données personnelles. 76
76
Site officiel de la CNIL, consultable sur le lien suivant : https://www.cnil.fr/fr/cnil-direct/question/un-
traitement-de-donnees-caractere-personnel-cest-quoi
47
SECTION I : LA REGLEMENTATION DES TRAITEMENTS, VERS UNE

SIMPLIFICATION NECESSAIRE
Avant de commencer une étude approfondie concernant la réglementation des

traitements, il est nécessaire de définir quelques notions qui nous intéresse comme la
notion de traitement, la notion de fichier, la notion de collecte et la notion du responsable
du traitement.
 La notion de fichier 77
La notion de fichier s’applique aux données personnelles qui font l’objet d’un traitement
manuel i.e. non informatisé (ex. : fichier carton). La L. 78 ne s’applique qu’aux fichiers
structurés i.e. « accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé, ou réparti de manière fonctionnelle ou géographique » (article
2, directive 95/46/CE). C’est le cas des annuaires, collections de données sous forme de
listes, fichiers ou dossiers structurés selon un critère classificatoire quelconque.
 La notion de collecte
La collecte de données personnelles est une des opérations qui constitue un traitement 78.
Pour autant, la loi ne définit pas la collecte. Selon la CNIL, « collecter consiste à
récupérer des données personnelles par tout moyen notamment à l’aide d’un formulaire
en ligne » (Lexique de la CNIL).
De son côté, la jurisprudence confère une portée très large à la notion de collecte. Pour
la Cour de cassation, « constitue une collecte de données nominatives le fait d’identifier
des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier,
pour adresser à leur titulaire des messages électroniques ». Par ailleurs, selon la Cour,
les données sont collectées et traitées dès lors que « les adresses sont mémorisées ne
serait-ce qu’un instant dans la mémoire de l’ordinateur » (Crim., 14 mars 2006). Il en
résulte que des données personnelles peuvent être collectées y compris en l’absence de
stockage79
77
David Forest, Droit des données personnelles, Gualino, lextenso éditions, page 34
78
L’article. 2al. 3, L. 78
79
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et la
CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013
48
 La notion du traitement et du responsable du traitement :

Le traitement est défini dans la loi n° 09-08 comme étant : « toute opération ou ensemble
d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des
données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation,
la modification, l’extraction, la consultation, l’utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »80. Par cette
définition, le législateur a voulu englober toutes les possibilités de traitement qui
pourraient être appliquées à des données à caractère personnel pour offrir la protection
la plus adéquate aux citoyens.
Quant au responsable du traitement, il a été défini comme étant « la personne physique
ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou
conjointement avec d’autres détermine les finalités et les moyens du traitement de
données à caractère personnel. » 81
NB : Contrairement à la détermination des finalités, la détermination des moyens peut

être déléguée par le responsable du traitement pourvu qu’elle ne porte que sur des
questions techniques ou d’organisation i.e. non sur le choix des données à traiter, la
durée de leur conservation...
Il ne suffit pas de qualifier contractuellement une personne de responsable du traitement
ou de sous-traitant pour qu’elle soit considérée comme telle.
Paragraphe 1 : Les principes du traitement

Commençons par mentionner l’alinéa du texte de loi structurant cette partie, où les trois
principes sont posés clairement, même si nous les traiterons dans un ordre différent :
Les données à caractère personnel doivent être [...] traitées de manière licite, loyale et
transparente au regard de la personne concernée (licéité, loyauté, transparence) 82.
Nous définirons également un concept qui sera réutilisé par la suite, la finalité du
traitement : c’est en réalité l’objectif du traitement, sa raison d’être ; sans finalité, un
traitement ne peut exister (ou alors il est illicite), selon le droit européen.
I- Principe de collecte loyale
80
Loi n° 09-08, l’article. 1, alinéa .2
81
L. n° 09-08, art. 1er
82
Article 5 du RGPD
49
Le principe de collecte loyale existe déjà depuis longtemps en droit français ; il est en
effet mentionné à l’article 226-18 du Code Pénal, qui interdit la collecte de données
personnelles « par un moyen frauduleux, déloyal ou illicite ». Une jurisprudence existe
donc déjà à ce sujet, on sait ainsi83 qu’est déloyal un traitement consistant, pour une
société de recouvrement, à collecter des informations concernant une personne, à partir
de ses lettres écrites au propriétaire ou syndic de copropriété, à l’exception évidente de
ses informations de contact usuelles.
Aussi, la jurisprudence française, qui devrait rester applicable suite au RGPD, précise
qu’une information librement accessible ne peut pas forcément être librement
réutilisée 84, et constitue, sans consentement de l’utilisateur, et hors cas d’exception (je
pense ici à la sécurité nationale, ou au traitement effectué par une personne physique),
une atteinte au principe de loyauté. Pages Jaunes avait en effet « aspiré » les données de
millions d’utilisateurs – qu’ils avaient eux-mêmes mis en ligne sur les réseaux sociaux
– pour remplir son célèbre annuaire.
Le RGPD, quant à lui, définit clairement ce principe, mais hors de son champ de
définitions 85 : il précise que la personne concernée doit être informée de l’existence et
des finalités du traitement ; entre aussi dans cette définition le fait de porter à la
connaissance de l’utilisateur les conséquences pour lui s’il refuse ce traitement. En
outre, est aussi précisée la possibilité de recourir à des icônes pour faciliter la
compréhension par l’utilisateur du traitement et de ses conditions ; cela montre que le
Règlement n’est pas formel concrètement : la seule chose qui importe est l’information
de l’utilisateur – notons que l’utilisation unique d’icônes ne saurait par contre, à elle
seule, informer suffisamment l’utilisateur.
Plus loin, le RGPD, après avoir mentionné l’obligation de ce principe de loyauté,
mentionne, sans les attribuer directement au principe, deux obligations qui y sont liés :
l’obligation de finalités « déterminées, explicites et légitimes » 86 (c’est le principe de
proportionnalité), ainsi qu’un traitement « adéquat, pertinent et limité » des données.
Ces nouvelles définitions se passent de commentaire, et permettent déjà de bien mieux
cerner le principe de collecte loyale.
Pour revenir un instant sur le principe de proportionnalité, qui est à la fois lié et considéré
indépendamment du principe de loyauté 87 : il s’apprécie au cas par cas, en fonction des
règles applicables, c’est donc principalement la jurisprudence à venir qui nous donnera
les cas particuliers où il est respecté ou non. Un exemple n’est jamais de refus, on
pourrait ainsi citer le Code du Travail88, en matière de traitement dans un cadre RH, qui
83
Cass. Crim., 3 nov. 1987, n° 87-83429  
84
CE, 9 et 10ème chambre, 12 mars 2014, n° 353193, dite « PagesJaunes »  
85
RGPD, considérant 68  
86
RGPD, art. 5, considérant (b) et (c)  
87
Il est indépendant sur la forme (séparé au niveau législatif), mais poursuit un même objectif de fond  
88
C. trav., art. L1132-1 et autres
50
prévoit des dispositions de lutte contre les discriminations, un fichage ethnique est donc
une collecte disproportionnée, en vertu des textes applicables.
Il convient de faire légalement attention aux collectes indirectes, comme les adresses IP
qui sont collectées et stockées, généralement avec des données temporelles et de
connexion, par les prestataires d’hébergement. Ces données sont pour la plupart (sauf à
être anonymisées avant stockage) soumises au même RGPD que les traitements «
volontaires ». 89
Pour terminer, et comme le sujet est très dense, je vous recommande de regarder les
recommandations de la CNIL à ce sujet, par exemple ici pour le commerce et le
marketing.
II- Obligation de transparence
Une obligation de transparence incombe au responsable du traitement ; cette

obligation se compose en partie du droit à l’information, qui consiste à permettre à
l’utilisateur de demander à tout moment d’être informé sur les traitements dont ses
données personnelles font l’objet 90, ainsi que de pouvoir être informée de la finalité et
des modalités du traitement. Je reparlerais de ce droit plus en détails dans la partie
prévue à cet effet, mais sachez qu’en pratique (hors du droit de contexte du simple
RGPD), il ne peut, sauf rares exceptions, être opposé à une personne, même dans des
cas de sécurité nationale – avec des subtilités toutefois, comme le fichier des fichés S,
où il se transforme plutôt en droit au contrôle externe (la personne peut demande que
soient vérifiés que le traitement dont elle fait l’objet sont légaux, mais ne peut le vérifier
elle-même).
Le Règlement énumère un ensemble d’informations devant être obligatoirement
communiqué aux personnes concernées ; si la collecte est directe – c’est-à-dire qu’elle
est effectuée directement auprès de l’utilisateur, il faut fournir 91 :
 L’identité et coordonnées du responsable du traitement et du DPD ;
 Si les données sont transmises à un tiers, l’identité de ce tiers ;
 La finalité du traitement et sa base juridique (extraite du principe de licéité que
nous verrons après) ;  
 L’existence d’un transfert hors EU dans certains cas (nous le reverrons) ;  
89
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018.
90
RGPD, art. 12  
91
RGPD, art. 13  
51
 La durée de conservation des données (droit à l’oubli) ;  
 Un rappel des différents droits des utilisateurs (les six fondamentaux et le droit
au recours effectif).  
Les informations à fournir varient légèrement si elles ont été collectées de manière
indirecte, le dernier point ci-dessus est en effet inapplicable et remplacé la mention de
la catégorie des données concernées ainsi que de la source de ces données.   Pour
terminer sur ce principe de transparence, il est constitué d’un dernier volet concernant
une certaine transparence concernant l’utilisation des données : le Règlement rappelle 92,
particulièrement, le droit de ne pas faire l’objet d’une décision fondée exclusivement
sur un traitement automatisé (limitant ainsi le profilage, c’est-à-dire l’analyse
informatisée d’un comportement) ; ce principe est l’un des seuls précisés concernant
l’utilisation des données (transparence a posteriori ).  
III- Licéité du traitement
La licéité du traitement, dernier principe consacré par le droit nouveau, est mentionnée
juste après la liste des trois principes 93, et consiste en une liste à puce précisant les cas
de licéité du traitement. Le premier cas est plutôt simple : il définit le traitement comme
licite dès lors que l’utilisateur y a consenti, pour une ou des finalités définies et
spécifiques – ce concept de spécificité est très important, vous l’avez peut-être remarqué
si vous utilisez Facebook : pour chaque finalité, et pour chaque donnée collectée, le site
demande maintenant un consentement précis.
Cette obligation de consentement est novatrice en cela qu’elle consiste en un

consentement positif, alors qu’il pouvait avant tout aussi bien être effectué a posteriori
du traitement. En pratique, il faut donc que l’utilisateur précise, pour chaque donnée, et
chaque finalité, son choix concernant cette donnée personnelle ; ce choix doit consister
en un « oui » ou un « non », les anciens sites présumant que vous acceptez une collecte
en continuant la navigation sont donc dans l’illégalité.   Notons que le choix de
l’utilisateur ne peut en aucun cas altérer son utilisation du service, s’il refuse un
quelconque traitement, seules les parties du service directement liées à ce traitement
92
RGPD, art. 22  
93
RGPD, art. 6  
52
particulier peuvent lui être refusées ; il ne peut en aucun cas être privé d’accès total au
service, sauf si le traitement est strictement nécessaire au dit service 94.
Le consentement n’est pas forcément la base légale privilégiée lors d’un traitement de
données : pour éviter les contraintes de celui-ci le législateur prévoit de nombreuses
exceptions au principe général (de consentement). Le traitement peut ainsi être effectué
s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée a souscrit –
on pense ici particulièrement aux contrats commerciaux, où le traitement, par exemple,
de l’adresse de livraison, est évidemment nécessaire à la réalisation du contrat.  
Les autres exceptions sont moins importantes et concernent, dans l’ordre :
- Le respect d’une obligation légale : si le responsable du traitement est contraint par

la loi à effectuer ce traitement.
- La nécessité de sauvegarde des intérêts vitaux d’une personne, plus précisément «
de la personne concernée » ; il va de soi qu’un hôpital recevant quelqu’un en
urgence ne peut lui demander de consentir au traitement préalablement aux soins ;
 La nécessité d’exécution d’une mission d’intérêt public ; c’est probablement
l’exception qui suscitera le plus de doute d’interprétation, étant donné que le sens
de « mission d’intérêt public » n’est pas défini par le RGPD ;
 La nécessité du traitement « aux fins des intérêts légitimes poursuivis par le
responsable du traitement ou par un tiers » ; en substance, cela concerne
typiquement la justice, qui pourra traiter des informations sur une personne
assignée sans son consentement, car la personne qui en assigne une autre en
justice possède ici un intérêt légitime.
Je mentionne ici la justice comme ayant un intérêt légitime, mais ce principe peut être
appelé par une structure privée et constitue sûrement une des exceptions qui sera la plus
utilisée, mais elle est à prendre avec des pincettes pour le moment, étant donné le flou
absolu qui règne autour, et l’opposition claire entre les principes, par exemple, du droit
français, et le RGPD. La CNIL, en effet, considère la prospection commerciale comme
interdite 95, mais le Règlement précise bien que « Le traitement de données à caractère
personnel à des fins de prospection peut être considéré comme étant réalisé pour
répondre à un intérêt légitime »96, et doit à ce titre être autorisé ; seule la jurisprudence
94
RGPD, art. 7, alinéa 4  
95
C. consom., art. L. 121-20-5 ; CPCE, art. L. 34-5 ; voir dépliant CNIL « La publicité par voie électronique
96
RGPD, considérant 47  
53
future pourra donc borner correctement cette notion d’intérêt légitime, restreint par la
préservation des libertés fondamentales 97.
Paragraphe 2 : Une adaptation à de nouveaux défis
Globalement, la mise en conformité au RGPD est présentée comme un défi où il

n’y aurait que des procédures à appliquer (un registre à mettre en place, des analyses
d’impact à faire, ...).
Ces procédures permettant de connaître les traitements réalisés par l’institution et
l’analyse de gestion des risques sont en fait plutôt à considérer comme des balises
permettant de garantir les étapes de mise en application de ce qui est attendu sur le fond
; à savoir, que l’organisation fasse du « privacy by default et by design ». 98
I- Le Privacy by design
Le « privacy by design » est le fait que le responsable de traitement doit penser à la

sécurité de celui-ci dès qu’il envisage un traitement de données, Ainsi que dans toutes
les étapes de sa mise en œuvre.
Le principe de « Privacy by design » au cœur du RGPD. L’article 25 du Règlement

Général de la Protection des Données RGPD intitulé « Protection des données dès la
conception et protection des données par défaut » prévoit le principe de « Privacy by
design ».
La protection des données dès la conception. Le principe de protection des données dès
la conception signifie que l’entreprise doit désormais intégrer la protection des données
à caractère personnel dès la conception de projets rattachés au traitement des données
d’une entreprise. Cela permet de minimiser les risques d’un non-respect du traitement
des données au RGPD entrant en vigueur le 25 mai 2018. L’entreprise doit prendre des
97
RGPD, art. 6, alinéa 1.f  
98
Nathalie WALCZAK, La protection des données personnelles sur l'internet : Analyse des discours et des enjeux
sociopolitiques. Thèse de doctorat en Sciences de l'information et de la communication   Sous la direction
d’Isabelle GARCIN-MARROU et de Franck REBILLARD Présentée et soutenue publiquement le 4 juillet 2014. 
54
mesures techniques et organisationnelles appropriées au traitement des données au

regard de la finalité recherchée par l’entreprise dans le traitement. 99
L’application de ce principe permet donc de mettre en œuvre des mesures préventives
permettant de limiter les risques d’amendes RGPD : les mesures doivent empêcher la
collecte de données personnelles sans raison légitime d’une part, et la suppression de
données d’une base de données s’il n’y a pas ou plus de raisons de la stocker d’autre
part.
NB : Le principe de « privacy by design » pousse l’entreprise à adapter ses méthodes et
ses techniques, dès leurs conceptions, à la protection des données prévues dans le
RGPD, c’est-à-dire dès le début d’un projet ou dès la création d’une nouvelle technique.
Cela permet d’avoir des techniques appropriées aux besoins réels de l’entreprise
permettant de limiter la collecte des données à caractère personnel.
II- Le Privacy by default
Le « privacy by default » est le fait que, par défaut, la personne dont les données sont
traitées bénéficie du niveau maximal de protection.
Le Privacy by Default est tout particulièrement intéressant dans le cadre de l’utilisation
d’internet et du développement des applications. Les paramètres par défaut font donc en
sorte que la plus grande protection des données possible soit garantie. L’utilisateur
pourra alors aller modifier les paramètres (permettre la localisation par exemple) à sa
guise même s’il se verra notifier les dangers de ces changements.
La confidentialité par défaut s'étend également aux périodes de conservation des
données : les données personnelles ne doivent être conservées et stockées que tant que
cela est nécessaire au fonctionnement du produit ou du service, ce qui se traduit souvent
par la création du programme de conservation obligatoire des données, ainsi que par la
conception et le test des utilisateurs, processus pour l'exécution de périodes de rétention.
Les produits, les technologies et les services doivent par défaut protéger au maximum
les données des individus, même si les entreprises souhaitent toujours inclure des
options permettant à la personne concernée de désactiver ces mesures.
III- Accountability
L’accountability (ou démontrabilité) est une obligation qui pèse au responsable du

traitement. Elle lui impose de revoir l’ensemble des règles internes de l’entreprise pour
pouvoir mettre en place de nouvelles, offrant une plus grande protection des données
99
Aurélie Banck & Catherine Schultis, Vade-mecum de la protection des données personnelles pour le secteur
bancaire et financier, RB édition 2018, page 29.
55
personnelles. Cette réorganisation doit aussi permettre de démontrer aisément le respect

du RGPD. Le principe d’accountability n’est pas une nouveauté dans le domaine de la
protection des données, Plusieurs textes y faisaient déjà référence avant le RGPD : les
lignes directrices de l’OCDE en 1980 100, la norme ISO 29100 ou encore le Standard de
la conférence internationale de Madrid. Dans le RGPD, le principe d’accountability est
basé sur 3 grands principes 101 :
La prise de mesures pour se conformer au RGPD : loyauté, transparence des traitements,
respect du principe de finalités, exactitude des données, respect des délais de
conservation etc.
La preuve que des mesures appropriées ont été effectivement prises ;
Flexibilité : actualisation et amélioration continue des mesures mise en place.
De manière générale, l’article 24 du RGPD 102 pose le principe de la responsabilité du

responsable (sic) du traitement :
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi
que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés
des personnes physiques, le responsable du traitement met en œuvre des mesures
techniques et organisationnelles appropriées pour s’assurer et être en mesure de
démontrer que le traitement est effectué conformément au présent règlement. Ces
mesures sont réexaminées et actualisées si nécessaire. »
Selon le considérant du RGPD 103, « la directive 95/46/CE prévoyait une obligation
générale de notifier les traitements de données à caractère personnel aux autorités de
contrôle. Or, cette obligation génère une charge administrative et financière, sans pour
autant avoir systématiquement contribué à améliorer la protection des données à
caractère personnel. Ces obligations générales de notification sans distinction devraient
dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces
ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque
élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur
portée, de leur contexte et de leurs finalités ». Les formalités préalables qui existaient
sous le régime de la directive de 1995 sont donc, dans leur grande majorité, supprimées,
et remplacées par une obligation générale de démontrer la conformité du traitement au
100
« Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données à
caractère personnel », adoptées le 23 septembre 1980 et révisées le 11 juillet 2013.
101
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018. Page numéro
75 et 76.
102
L’article 24 du RGPD.
103
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Règlement relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
56
RGPD. Il s’agit du nouveau principe dit d’accountability, c’est-à-dire la capacité à

rendre des comptes.
SECTION II : CONFIDENTIALITE ET SECURITE DES TRAITEMENTS
Paragraphe 1 : Les conditions requises pour la qualité du responsable du

traitement
La loi 09-08 définit le responsable de traitement comme étant la personne physique

ou morale, l’autorité́ publique, le service ou tout autre organisme qui, seul ou
conjointement avec d’autres, détermine les finalités et les moyens du traitement de
données à caractère personnel.
Deux critères sont ainsi clés pour identifier le responsable de traitement : la finalité et
les moyens. Il s’agit donc de la personne ou de l’entité fixant les objectifs du traitement
et ses grands principes de fonctionnement (quelles données, quelle durée, etc.). Dans le
monde informatique, on parlera de maître d’ouvrage, par opposition au maître d’œuvre
qui définit les caractéristiques techniques du traitement, sous la responsabilité́ du maître
d’ouvrage.
La précision personne ou entité est ici essentielle. En effet, il convient de ne pas perdre
de vue que le responsable de traitement est bien plus souvent une entreprise qu’une
personne physique. C’est en ce sens que le dirigeant, en tant que représentant légal de
l’entreprise, sera par défaut le responsable de traitement.
Cette responsabilité́ peut être déléguée à travers le mécanisme classique de délégation
de pouvoir. Ainsi, en application directe de la définition de la loi, le DRH devient
responsable de traitement pour les traitements RH, le directeur commercial responsable
des traitements liés à la relation client, etc.
Il convient en effet de considérer cette notion de responsable non pas vis-à-vis d’un
organisme dans son ensemble mais bien par rapport à chaque traitement : la loi ne
s’oppose en aucun cas à ce qu’il y ait plusieurs « responsables de traitement » au sein
de la même entreprise, chacun n’étant in fine qu’un représentant du véritable
57
responsable de traitement, c’est -à-dire de l’entreprise elle-même, en tant que personne

morale.
Pour autant, cette identification du responsable de traitement ne dédouane en aucun cas
les autres acteurs du respect de la loi, pas plus qu’elle n’incrimine de manière
automatique le représentant identifié en cas de non-respect.
Ainsi, les sanctions prises par les autorités en charge de la protection des données à
caractère personnel en Europe le sont toujours contre un organisme, bien que
physiquement adressées à l’un de ses représentants légaux : ce n’est pas lui, en tant
qu’individu, mais bien l’organisme qui est mis en cause.
En revanche, la responsabilité pénale peut porter aussi bien sur le responsable du
traitement que sur n’importe quelle personne impliquée, morale ou physique. Ainsi,
dans le cas de la revente de la base client par un salarié, c’est le salarié qui a été reconnu
coupable de violation de protection des données à caractère personnel et condamné en
son nom propre.
Bien qu’essentielle, la notion de responsable de traitement doit donc, dans la majorité
des cas, être dédramatisée : l’identification d’un responsable plutôt qu’un autre au sein
d’une entreprise n’influera pas sur les mesures à mettre en œuvre. Elle doit au contraire
faciliter leur mise en place, en responsabilisant les maîtrises d’ouvrage.
En revanche, elle devient bien entendu cruciale dans des cas de sous-traitance ou de
mise en œuvre conjointe d’un traitement par différents organismes, la loi ne
reconnaissant pas, à ce jour, la coresponsabilité.
I- L’aspect personnel
Afin de déterminer la ou les personnes responsables d’un traitement de données à

caractère personnel, il convient de se reporter à la méthodologie élaborée par le G29
dans son avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant
».104
Le premier élément de la définition a trait à l’aspect personnel : qui peut être responsable
du traitement, et donc considéré comme responsable en dernier ressort des obligations
découlant de la directive.
La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a
fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle
renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du
traitement, de la personne physique à la personne morale, en passant par « tout autre
organisme ».
104
David Forest, Droit des données personnelles, Gualino, lextenso éditions, Page 34 et 35.
58
Il importe que l’interprétation de ce point garantisse la bonne application de la directive,

en favorisant autant que possible une identification claire et univoque du responsable du
traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et
rendue publique.
Il convient avant tout de s’écarter le moins possible de la pratique établie dans les
secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit
administratif et le droit pénal.
Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels
organismes les responsabilités doivent être attribuées et permettront, en principe,
d’identifier le responsable du traitement.
 Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les
personnes concernées puissent s’adresser à une entité plus stable et plus fiable
lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de
considérer comme responsable du traitement la société ou l’organisme en tant que tel,
plutôt qu’une personne en son sein.
C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort,
comme responsable du traitement des données et des obligations énoncées par la
législation relative à la protection des données, à moins que certains éléments précis
n’indiquent qu’une personne physique doive être responsable.
D’une manière générale, on partira du principe qu’une société ou un organisme public
est responsable en tant que tel des opérations de traitement qui se déroulent dans son
domaine d’activité et de risques.
Parfois, les sociétés et les organismes publics désignent une personne précise pour être
responsable de l’exécution des opérations de traitement. 105
Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des
principes de protection des données ou pour traiter des données à caractère personnel,
elle n’est pas responsable du traitement mais agit pour le compte de la personne morale
(société ou organisme public), qui demeure responsable en cas de violation des
principes, en sa qualité de responsable du traitement.
 Exception : le responsable du traitement peut être une personne physique
105
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et
la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013.
59
Une analyse distincte s’impose dans le cas où une personne physique agissant au sein
d’une personne morale utilise des données à des fins personnelles, en dehors du cadre
et de l’éventuel contrôle des activités de la personne morale.
Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et
assumerait la responsabilité de cette utilisation de données à caractère personnel. Le
responsable du traitement initial pourrait néanmoins conserver une certaine part de
responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures
de sécurité.
Ainsi, le rôle du responsable du traitement est décisif et revêt une importance
particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.
Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon
les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale
responsable des infractions à la législation sur la protection des données est sans nul
doute un préalable indispensable à la bonne application de la loi informatique et libertés.
II- La possibilité d’une personne pluraliste
La possibilité que le responsable du traitement agisse « seul ou conjointement avec

d’autres » n’avait pas été prévue initialement par les textes.
Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de
façon égale et sont responsables de façon égale d’un même traitement.
Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la « responsabilité
pluraliste ». Dans cette optique, « conjointement » doit être interprété comme signifiant
« ensemble avec » ou « pas seul », sous différentes formes et associations.
Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer
au traitement de données à caractère personnel est naturellement liée à la multiplicité
des activités qui, selon la loi, peuvent constituer un « traitement » devenant, au final,
l’objet de la « coresponsabilité ».
La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut
pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles
d’opérations appliquées à des données à caractère personnel.
Ces opérations peuvent se dérouler simultanément ou en différentes étapes.
Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les
responsabilités puissent facilement être attribués, pour éviter que les complexités de la
coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en
œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.
Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines
opérations de traitement :
 Soit la finalité
60
 Soit les éléments essentiels des moyens qui caractérisent un responsable du

traitement
Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la
détermination conjointe peut revêtir différentes formes et n’est pas nécessairement
partagée de façon égale.
En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche
(en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de
traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les
moyens, ou une partie de ceux-ci).
Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs
conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la
complexité croissante de la réalité actuelle du traitement de données.
Par exemple, le simple fait que différentes parties coopèrent dans le traitement de
données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles
sont coresponsables dans tous les cas. En effet, un échange de données entre deux
parties, sans partage des finalités ou des moyens dans un ensemble commun
d’opérations, doit être considéré uniquement comme un transfert de données entre des
responsables distincts.
L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer

une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En
créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à
utiliser et deviennent coresponsables du traitement des données, du moins dans cette
mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.
À cet égard, l’article 26 du RGPD prévoit que :
D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement
les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Les responsables conjoints du traitement définissent de manière transparente leurs
obligations respectives aux fins d’assurer le respect des exigences du présent règlement,
notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs
obligations respectives quant à la communication des informations visées aux articles
13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations
respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel
les responsables du traitement sont soumis. Un point de contact pour les personnes
concernées peut être désigné dans l’accord.
D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des
responsables conjoints du traitement et leurs relations vis-à-vis des personnes
concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne
concernée.
61
 Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne

concernée peut exercer les droits que lui confère le présent règlement à l’égard
de et contre chacun des responsables du traitement.
III- Les éléments essentiels qui permettent de distinguer le responsable

du traitement des autres acteurs
Le responsable du traitement est celui qui « détermine les finalités et les moyens du
traitement de données à caractère personnel ».106
Cette composante comporte deux éléments qu’il convient d’analyser séparément :
 Détermine
 Les finalités et les moyens du traitement
 Détermine
La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer
les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc
sur une analyse factuelle plutôt que formelle.
Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer
cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche
pragmatique pour assurer une prévisibilité de la responsabilité.
À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour
guider et simplifier l’application de la législation en matière de protection des données.
Ceci implique une interprétation de la directive garantissant que « l’organisme qui
détermine» puisse être facilement et clairement identifié dans la plupart des cas, en
106
62
s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement
déduire une influence de fait, en l’absence d’indices contraires.
Ces contextes peuvent être analysés et classés selon les trois catégories de situations
suivantes, qui permettent d’aborder ces questions de façon systématique:
Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque
le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le
droit national ou communautaire.
La désignation explicite du responsable du traitement par le droit n’est pas courante et
ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national
prévoit que les pouvoirs publics assument la responsabilité du traitement des données à
caractère personnel effectué dans le cadre de leurs fonctions
Il est cependant plus fréquent que la législation, plutôt que de désigner directement le
responsable du traitement ou de fixer les critères de sa désignation, charge une personne,
ou lui impose, de collecter et traiter certaines données.
Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques
(par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins
quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.
Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon
plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir
certaines données. Ces entités seraient alors normalement considérées comme
responsables de tout traitement de données à caractère personnel intervenant dans ce
cadre.107
Responsabilité découlant d’une compétence implicite
Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni
la conséquence directe de dispositions juridiques explicites, mais découle malgré tout
de règles juridiques générales ou d’une pratique juridique établie relevant de différentes
matières (droit civil, droit commercial, droit du travail, etc.).
Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine
responsabilité permettront d’identifier le responsable du traitement: par exemple,
l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur
ses abonnés, l’association pour les informations sur ses membres ou adhérents.
Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être
considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée),
entraînant au final également des responsabilités en matière de protection des données.
107
63
Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux
entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour
leur compte, ou par une personne physique dans le cadre de fonctions similaires.
Responsabilité découlant d’une influence de fait
Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des
circonstances factuelles. Un examen des relations contractuelles entre les différentes
parties concernées sera bien souvent nécessaire.
Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les
obligations de responsable du traitement à une ou plusieurs parties.
Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il
contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne
qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le
contrat soit plus explicite en ce qui concerne le responsable du traitement.
S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas
exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne
sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité
d’attribuer la responsabilité à qui elles l’entendent.
Le fait même qu’une personne détermine comment les données à caractère personnel
sont traitées peut entraîner la qualification de responsable du traitement, même si cette
qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue
par un contrat.
 Les finalités et les moyens du traitement
La détermination des finalités et des moyens revient à établir respectivement le «

pourquoi » et le « comment » de certaines activités de traitement. 108
Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire
de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «
pourquoi » et le « comment » pour être qualifiée de responsable du traitement.
Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer
le rôle de responsable du traitement, la question centrale qui se pose est donc le degré
de précision auquel une personne doit déterminer les finalités et les moyens afin d’être
considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre
que la directive laisse à un sous-traitant.
Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le
traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels
108
64
d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et

lesquels sont à considérer comme des sous-traitants, le cas échéant.
L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte
particulier dans lequel intervient le traitement.
Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le
pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre
des décisions.
Les questions qui se posent alors sont celle du motif du traitement et celle du rôle
d’éventuels acteurs liés, tels que les sociétés d’externalisation de services : la société qui
a confié ses services à un prestataire extérieur aurait-elle traité les données si le
responsable du traitement ne le lui avait pas demandé, et à quelles conditions ?
Un sous-traitant pourrait suivre les indications générales données principalement sur les
finalités et ne pas entrer dans les détails en ce qui concerne les moyens.
S’agissant de la détermination des « moyens », ce terme comprend de toute évidence
des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.
En effet, « moyens » ne désigne pas seulement les moyens techniques de traiter des
données à caractère personnel, mais également le « comment » du traitement, qui
comprend des questions comme « quelles données seront traitées », « quels sont les tiers
qui auront accès à ces données », « à quel moment les données seront-elles effacées »,
etc.
La détermination des « moyens » englobe donc à la fois des questions techniques et

d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par
exemple, « quel matériel informatique ou logiciel utiliser ?»), et des aspects essentiels
qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable
du traitement, tels que « quelles sont les données à traiter ?», « pendant combien de
temps doivent-elles être traitées ?», «qui doit y avoir accès», etc.
Dans ce contexte, alors que la détermination de la finalité du traitement emporterait
systématiquement la qualification de responsable du traitement, la détermination des
moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments
essentiels des moyens.
Dans cette optique, il est tout à fait possible que les moyens techniques et
d’organisation soient déterminés exclusivement par le sous-traitant des données.
65
Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune
indication sur les moyens techniques et d’organisation, les moyens devraient représenter
une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement
devrait être parfaitement informé des moyens utilisés.
Si un contractant avait une influence sur la finalité et qu’il procédait au traitement
(également) à des fins personnelles, par exemple en utilisant les données à caractère
personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors
responsable du traitement (ou éventuellement coresponsable du traitement) pour une
autre activité de traitement et serait donc soumis à toutes les obligations prévues par la
législation applicable en matière de protection des données. 109
Paragraphe 2 : Les obligations des responsables de traitement
L’accountability, terme traduit en français par « responsabilité », est « le fait d’être

responsable et de devoir en rendre compte »110 C’est « d’une part, l’obligation générale
pour les entreprises de mettre en œuvre les mesures techniques et organisationnelles
appropriées pour s’assurer que les traitements des données sont réalisés conformément
au Règlement et, d’autre part, de pouvoir le démontrer ». C’est une « nouvelle
méthodologie qui vient complètement révolutionner le système probatoire en matière de
protection des données ». Ce changement « se traduit par une obligation documentaire
implicite à la responsabilisation ». L’adoption du RGPD « sonne le glas des formalités
préalables à accomplir auprès de la CNIL »111: on passe en effet d’un système de
déclaration préalable du traitement des données à la CNIL, à une obligation de mise en
conformité (sur les formalités préalables, voir « collaborer avec la CNIL » 112
Trois intervenants sont susceptibles d’engager leur responsabilité civile et pénale : le
responsable du traitement, le co-responsable éventuel et le sous-traitant.
Il doit mettre « en œuvre des mesures techniques et organisationnelles appropriées pour
s’assurer et être en mesure de démontrer que le traitement est effectué conformément au
présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire » 113.
I- Les obligations du « responsable du traitement »
109
la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013
110
(Haas, 2018, p. 35).
111
Desgens-Pasanau, 2018, p. 5
112
chap. II, §I, B.3.
113
RGPD, art. 24 ; art. 57 de l’ordonnance
66
 La mise en place de mesures techniques et organisationnelles :

Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques
et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au
risque. 114
Il convient de prendre en compte l’état des connaissances, les coûts de mise en œuvre,
la nature, la portée, le contexte et les finalités du traitement ainsi que les risques dont le
degré de probabilité et de gravité varie pour les droits et libertés des personnes
physiques.
Au titre de ces mesures, le RGPD cite notamment :
- La pseudonymisation et le chiffrement des données
- Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et
la résilience constantes des systèmes et des services de traitement
- Des moyens permettant de rétablir la disponibilité des données à caractère personnel
et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou
technique.
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des
mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Le RGPD prescrit donc la mise en place d'une approche individuelle par le traitement
ou par sous-traitant en fonction des traitements opérés et des risques en résultant pour
les personnes concernées. Cette démarche doit être dynamique, dans la mesure ou l'état
de l'art en matière de sécurité ou les risques inhérents à un traitement peuvent évoluer
dans le temps. Elle pourrait également être qualifiée de subjective, l'appréciation des
risques pouvant varier d'un individu à l'autre et donc d'un responsable du traitement à
l'autre.
C’est un vrai changement de paradigme pour l’ensemble des acteurs, habitués à faire
des formalités préalables sur la base d’une liste de finalités identifiées au travers de la
doctrine de la CNIL, L’analyse des mesures à mettre en place doit être effectuée pour
chaque traitement avant sa mise en œuvre. En outre, pour les traitements les plus risqués,
une analyse d ' impact devra être réalisée.
 L'analyse d'impact relative à la protection des données 115:
114
L’article 32 du règlement européen.
115
L’analyse d’impact est désignée sous différentes terminologies et abréviations, notamment PIA pour «
Privacy Impact Assessment » et DPIA pour « Data Protection Impact Assessment ». Dans le cadre de cet
ouvrage, nous retiendrons la terminologie « analyse d’impact ». À noter que la terminologie de « Privacy
Impact Assessment » peut induire en erreur dans la mesure où l’analyse d’impact prescrite par le Règlement ne
se limite pas au seul droit à la vie privée, cf. Le Délégué à la protection des données (DPO) – Clé de voûte de la
conformité. Garance Mathias, Amandine Kashani-Poor, Aline Alfer, Les essentiels de la Banque et de la
Finance, RB Édition, 2017.
67
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et
libertés des personnes concernées, le responsable du traitement devra analyser, avant sa
mise en œuvre, ses impacts potentiels pour les droits et libertés des personnes
physiques 116, C'est donc bien l'impact pour les personnes qui doit être évalué et non les
risques pour l'entreprise en cas de non-conformité avec les dispositions du Règlement.
La notion de « risque élevé » apparaît relativement floue. Le RGPD vient compléter ces
dispositions en précisant qu'une analyse d'impact est en particulier requise dans certaines
situations, notamment :
- « En cas d'évaluation systématique et approfondie d'aspects personnels concernant des
personnes physiques qui est fondée sur un traitement automatisé (...) et sur la base de
laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une
personne physique ou l'affectant de manières similaires »
- Le traitement à grande échelle de catégories particulières de données » (données dites
« sensibles » au sens de l'article 9 ou portant sur des condamnations pénales)
- La surveillance systématique à grande échelle d'une zone accessible au public ».
Face à l'imprécision de ces critères, le G29 a adopté des lignes directrices le 4 octobre
2017117. Il propose une série de neuf critères permettant de déterminer si un traitement
présente ou non un risque élevé pour les personnes. Il s'agit des traitements comportant:
- Une évaluation ou une notation

- Une prise de décision automatisée ayant des effets juridiques ou un effet similaire
significatif ;
- Une surveillance systématique ;
- Des données sensibles ou des données caractère hautement personnel ;
- Des données traitées à grande échelle ;
- Des croisements ou combinaisons de données ; des données concernant des personnes
vulnérables (incluant les salariés) ;
- Des technologies innovantes ou de nouvelles solutions technologiques ou
organisationnelles ;
- Un traitement qui empêche les personnes concernées d'exercer un droit ou de
bénéficier d'un service ou d'un contrat.
Les traitements présentant au moins deux de ces critères doivent selon le G29 faire
l'objet d'une analyse d'impact. Il précise cependant qu'un responsable du traitement
pourrait également considérer qu'un traitement ne comportant qu'un seul de ces critères
nécessite une telle analyse.
116
L’article 35, § 1 du RGPD
117
« Lignes directrices concernant l’Analyse d’Impact relative à la Protection des Données (AIPD) et la manière
de déterminer si le traitement est « susceptible d’engendrer un risque élevé « aux fins du Règlement (UE) 2016/69
», Working Paper 248, rev.01, modifiées et adoptées le 4 octobre 2017.
68
Le RGPD que chaque autorité de contrôle élabore et publie une liste des traitements
pour lesquels une étude d'impact est requise et leur donne la possibilité de publier une
liste des traitements pour lesquels une telle analyse n'est pas requise. Ces listes doivent
être communiquées au Comité européen de la protection des données (cf. infra).
Lorsqu'elles incluent des traitements liés à l'offre de biens ou de services à des personnes
concernées ou au suivi de leur comportement dans plusieurs États membres ou
lorsqu'elles sont susceptibles d’« affecter sensiblement la libre circulation des
données… au sein de l’Union », ces listes devront être soumises au mécanisme de
contrôle de cohérence. 118
 La notification des violations de données 119 :

Le RGPD généralise à l'ensemble des responsables de traitement l'obligation de notifier
les violations de données, disposition qui jusqu'à présent ne s'appliquait qu'aux
entreprises fournissant des services de communications électroniques 120.
Le RGPD définit la violation de donnée comme « une violation de la sécurité entraînant,
de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non
autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre
manière, ou l'accès non autorisé à de telles données »
L'article 33 précise qu'en cas de violation de données à caractère personnel, le

responsable du traitement doit notifier la CNIL « dans les meilleurs délais et si possible
72 heures au plus tard après en avoir pris connaissance », sauf dans l'hypothèse où la
violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des
personnes physiques »121. Cette notification n'est donc pas systématique, toutefois le
responsable du traitement devra documenter les violations, qu'il informe ou non
l'autorité de contrôle. En outre, dans l'hypothèse où une violation susceptible
d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le
responsable du traitement devra en informer les personnes concernées. 122
118
Ce mécanisme prévu à l’article 63 du RGPD vise à assurer une harmonisation des décisions et des positions
des autorités de contrôle en Europe. Il est placé sous l’égide du Comité européen de la protection des données,
qui émet des avis et peut régler des litiges.
119
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018, Obligation de
sécurisation page 84
120
Cette disposition avait été introduite à l’article 34 bis de la loi Informatique et Libertés par l’ordonnance du
24 août 2011 transposant la Directive dite « Paquet Télécom »
121
Art. 33 du Règlement Général pour la Protection des Données.
122
Art. 34 du Règlement Général pour la Protection des Données.
69
La notification adressée à l'autorité de contrôle doit comporter différents éléments,

listés à l'article 33, et notamment « décrire la nature de la violation, cette description
devant préciser « si possible, les catégories et le nombre approximatif de personnes
concernées » et les « catégories et nombre approximatif d'enregistrements de données à
caractère personnel concernés ». Or, ces éléments peuvent être très difficiles à identifier,
en particulier dans le délai imparti. Lors de la survenance d'un incident, les ressources
sont généralement dédiées à sa remédiation et à la reprise de l'activité et non à l'analyse
de la situation, celle-ci étant plutôt réalisée a posteriori. Il est cependant possible de
communiquer ces éléments en plusieurs fois.
Le contenu de la notification aux personnes concernées, qui devra être effectuée

dans des termes clairs et simples, reprend la majeure partie des informations
communiquées à l'autorité de contrôle. Dans l'hypothèse où un responsable du
traitement n'aurait pas notifié les personnes concernées mais uniquement l'autorité de
contrôle, celle-ci peut, après examen des circonstances, exiger du responsable qu'il
notifie les personnes.
Le RGPD ne saurait être considéré de manière isolée. En effet, d'autres réglementations
imposent à certains acteurs du secteur bancaire et financier de notifier des incidents de
sécurité ; incidents qui sont susceptibles de comporter des données à caractère
personnel, entraînant donc l'obligation de les notifier à plusieurs titres et à différentes
autorités.
On peut citer la Directive sur les Services de paiement 2 123, transposée par
l'ordonnance du 9 août 2017 124, et la Directive concernant des mesures Destinées à
assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information
(directive SRI 125).
A noter que l'obligation de notifier une violation de données incombe au responsable

du traitement et non au sous-traitant. Néanmoins, une violation pourrait intervenir dans
le cadre de la prestation effectuée par un prestataire. Dans ce cas, le RGPD prévoit que
le sous-traitant doit informer le responsable du traitement sans délai et l'aider dans le
respect de ses obligations. Le contrat devra donc prévoir une obligation d'information à
la charge du sous-traitant en cas de violation de données et une procédure permettant au
sous-traitant de respecter cette obligation, fixant en particulier le délai et les modalités
concrètes d'information du responsable du traitement (qui contacter ? À quelle adresse
123
Directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
124
Ordonnance n° 2017-1252 du 9 août 2017.
125
Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures
destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
(non transposée en droit français à la date de rédaction de cet ouvrage).
70
ou numéro de téléphone ? Etc.). Un responsable du traitement pourrait également choisir

de déléguer à son sous-traitant la notification à l’autorité de contrôle et aux personnes
concernées. Toutefois, au vu des impacts potentiels de ce type d’incident, cette solution
ne semble pas recommandée, tout du moins à court terme.
Les obligations des responsables de traitement et des sous-traitants étant différentes, il
est donc important de bien qualifier les rôles de chacun.
II- La responsabilité du sous-traitant.
Le sous-traitant est désormais astreint, vis-à-vis du responsable du traitement, à une

obligation de conseil et d’assistance dans le respect des dispositions applicables en
matière de protection des données personnelles » (Desgens-Pasanau, 2018, p. 49). En
effet, la tendance est à « l’égalisation des obligations », ce qui a pour conséquence, en
cas de contrôle par la CNIL, « de voir les responsabilités conjointes du responsable de
traitement et du sous-traitant engagées en cas de manquement » 126.
Ainsi, le sous-traitant a des obligations en termes de sécurité, de nomination d’un
délégué à la protection des données, de tenue d’un registre de traitement, de respect du
principe « privacy by design », d’encadrement des transferts internationaux de données
et de notification de violations de données personnelles envers le responsable du
traitement.
La responsabilité du responsable du traitement est engagée du fait du comportement

du sous-traitant, ce qui crée des difficultés en cas de chaînes de sous-traitance. En effet,
le responsable du traitement et le sous-traitant doivent s’assurer par des clauses que les
obligations du responsable du traitement sont assurées par les sous-traitants.
Le responsable du traitement, le co-responsable éventuel et le sous-traitant doivent
mener ensemble une démarche de mise en conformité au RGPD, notamment sur le
terrain de la sécurité des données, sous peine de voir leur responsabilité engagée et des
sanctions prononcées.127
Le sous-traitant a une double série d’obligations : en propre et vis-à-vis du responsable

du traitement pour le compte duquel il traite des données.
 En propre :
 La tenue d’un registre des traitements
126
CNIL, Rapport annuel, La Documentation française, 2010.
127
LACOUR S. (sous la direction de), La Sécurité aujourd’hui dans la société de l’information, L’Harmattan,
2007.
71
Le contenu du registre des « catégories d’activités de traitement effectué pour le compte

du responsable du traitement » est défini à l’article 30, 2. Il doit comporter :
– le nom et les coordonnées de l’ensemble des parties impliquées dans le traitement
(sous-traitant, responsable du traitement, représentant du responsable du traitement ou
du sous-traitant et du DPO) ;
– les catégories de traitement effectuées pour chaque responsable du traitement ;
– les transferts de données hors Union européenne ;
– dans la mesure du possible une description générale des mesures de sécurité
techniques et organisationnelles.
 La désignation d’un DPO ou d’un représentant

Le sous-traitant doit désigner un DPO ou un représentant dans les mêmes conditions
qu’un responsable du traitement. Les cas de sous-traitances internes entre entités d’un
même groupe imposent d’adopter une organisation permettant de garantir
l’indépendance du DPO. Il ne semble, en effet, pas possible qu’un même DPO
représente un sous-traitant et un responsable du traitement dans le cadre d’une opération
commune, leurs intérêts pouvant être divergents. 128
 La coopération avec les autorités de contrôle

L’article 31 du Règlement précise que le sous-traitant coopère avec l’autorité de contrôle
« à la demande de celle-ci, dans l’exécution de ses missions ». En pratique, la CNIL
pouvait déjà interroger un sous-traitant ou se rendre dans ses locaux pour procéder à un
contrôle sur place des traitements mis en œuvre pour le compte d’un responsable. 129
 Privacy by design et Privacy by default

Au titre de l’article 25 du RGPD, cette obligation incombe formellement au responsable
du traitement et non au sous-traitant (v. Fiche 2). Toutefois, le sous-traitant via les
solutions qu’il propose et qu’il commercialise concourt directement au respect de ces
principes.
Un sous-traitant aura également la qualité de responsable de traitement pour les
traitements qu’il met en œuvre pour son propre compte (par exemple en matière de
gestion des ressources humaines, de comptabilité, etc.). Il devra, à ce titre, respecter
l’ensemble des obligations inhérentes à cette qualité, en plus de celles relatives à sa
qualité de sous-traitant. Cette contrainte implique donc de bien distinguer les opérations
relevant de chaque statut.
128
129
Jessica Eynard, Les données personnelles, Quelle définition pour un régime de protection efficace ? prix de la
CNIL, 2013, Michalon Editeur
72
 Dans le cadre de sa relation avec un responsable du traitement :
 La notification des violations de données

La notification des violations de données est une obligation incombant au responsable
du traitement. Toutefois, ce type d’incident peut intervenir chez un sous-traitant. Ce
dernier devra alors en informer le responsable du traitement « dans les meilleurs délais
» (art. 33, 2).
En pratique, une violation de données intervenant chez un prestataire pourrait impacter
plusieurs clients en même temps. Le sous-traitant devra donc être en mesure d’identifier
les responsables de traitement concernés et de les informer simultanément.
 L’obligation d’assurer la sécurité et la confidentialité des données

Le sous-traitant « prend toutes les mesures requises en vertu de l’article 32 » du RGPD
pour garantir un niveau de sécurité adaptée aux risques présentés par le traitement. Il
doit également s’assurer que ses employés et prestataires sont soumis à un engagement
de confidentialité. 130
 Le recours à un sous-traitant de second rang

Un sous-traitant a la possibilité d’avoir lui-même recours à un sous-traitant pour tout ou
partie de la prestation qui lui est confiée par un responsable du traitement (par exemple
un hébergeur de données). Pour se faire, il doit disposer d’une autorisation écrite du
responsable du traitement, générale ou spécifique (à une opération en particulier). Cette
autorisation doit être formalisée dans le contrat et, le cas échéant, être actualisée.
 L’obligation de conseiller le responsable du traitement

L’article 28, 3, h) dispose que « le sous-traitant informe immédiatement le responsable
du traitement si, selon lui, une instruction constitue une violation du présent règlement
ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la
protection des données ». Il devra donc apprécier la légalité des instructions qui lui sont
données par le responsable du traitement, non seulement par rapport aux dispositions du
Règlement mais également par rapport à l’ensemble des règles applicables en matière
de protection des données. 131
Il doit, en outre, aider :
– le responsable du traitement à répondre aux demandes d’exercice des droits des
personnes concernées ;
130
C. Pierre-Beaux, La protection des données personnelles : Éd. Promoculture, 2005
131
David Forest, Droit des données personnelles, Gualino, lextenso éditions
73
– « à garantir le respect des obligations prévues aux articles 32 à 36 [relatives à la

sécurité des données, à la notification des violations de données, à l’analyse d’impact et
à la consultation préalable de l’autorité de contrôle] compte tenu de la nature du
traitement et des informations à la disposition du sous-traitant »132
 La mise en œuvre de la responsabilité

Un sous-traitant peut voir sa responsabilité engagée pour des manquements qui lui
seraient imputables au titre de ses missions dans les mêmes conditions qu’un
responsable du traitement, le type et le montant des sanctions sont, à cet égard,
identiques. Pour autant, il ne sera responsable que s’il n’a pas respecté les obligations
qui lui incombaient spécifiquement ou s’il a « agi en dehors des instructions licites du
responsable du traitement ou contrairement à celles-ci » (art. 82). Il peut, en outre, être
exonéré de responsabilité « s’il prouve que le fait qui a provoqué le dommage ne lui est
nullement imputable ». En cas de contentieux, la question de la détermination de la part
de responsabilité de chacun dans les faits en cause devra être déterminée par l’autorité
de contrôle ou le juge.
« Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un

responsable du traitement et un sous-traitant participent au même traitement et qu’ils
sont responsables d’un dommage causé par le traitement, chacun des responsables du
traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin
de garantir à la personne concernée une réparation effective ». 133
L’ensemble des responsables du traitement et les sous-traitants sont donc

responsables in solidum de l’indemnisation du préjudice subi par les personnes
concernées dans sa totalité, à charge ensuite pour celui ayant indemnisé le préjudice en
totalité de réclamer aux autres, la part du montant correspondant à leur part de
responsabilité respective dans le litige.
III- Les sanctions (Le législateur marocain)
Le Chapitre VII fixe les sanctions civiles et pénales applicables qui peuvent aller, en cas
de récidive jusqu’à quatre années d’emprisonnement et 300.000DH d’amende.
Lorsque l’auteur de l’une de ces infractions est une personne morale, « et sans préjudice
des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées
132
LACOUR S. (sous la direction de), La Sécurité aujourd’hui dans la société de l’information, L’Harmattan,
2007.
133
C. Pierre-Beaux, La protection des données personnelles : Éd. Promoculture, 2005
74
au double » (article 64). La personne morale peut voir ses biens confisqués et ses
établissements fermés.
Est considérée comme infraction à la loi :
o Tout traitement portant atteinte à l’ordre public, à la sureté, à la morale et aux

bonnes mœurs.
o La mise en œuvre d’un traitement sans l’autorisation ou la déclaration exigées.
o Le refus du droit d’accès, de rectification ou d’opposition.
o Toute incompatibilité avec la finalité déclarée.
o Le non-respect de la durée de conservation des données.
o Le non-respect des mesures de sécurité́ des traitements.
o Le non-respect du consentement de la personne concernée, notamment lorsqu’il

s’agit de prospection directe à des fins commerciales, avec aggravation des
sanctions lorsqu’il s’agit de données sensibles.
o Tout transfert de DP vers un pays n’étant pas reconnu comme assurant une
protection adéquate.
o Toute entrave à l’exercice des missions de contrôle de la CNDP.
o Tout refus d’application des décisions de la CNDP.
 Sanctions contre les personnes physiques
À l’encontre des personnes physiques responsables du traitement des données

personnelles, et sans préjudice de leur responsabilité civile à l’égard des personnes ayant
subi des dommages du fait de l’infraction, les sanctions varient selon la gravité des faits
incriminés, pour ce qui est de l’emprisonnement entre trois mois et deux ans de prison,
et pour ce qui est des amendes entre 10 000 et 300 000 dirhams. Ces sanctions peuvent
être portées au double en cas de récidive.  
 Sanctions contre les personnes morales  
75
Lorsque l’auteur de l’infraction est une personne morale, et sans préjudice des peines
qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées  au
double. La personne morale peut voir ses biens confisqués et ses établissements fermés.
 Finalités des sanctions  
On constate que le législateur a voulu faire preuve de sévérité quant aux sanctions
prévues dans le cadre de la loi n° 09-08. L’objectif évident est, dans un premier temps,
de dissuader les personnes qui manipulent des données personnelles de contrevenir aux
dispositions légales et de les inciter à faire preuve d’une vigilance extrême lors des
traitements effectués. Dans un second temps, l’objectif est d’appliquer des peines
exemplaires à l’encontre des contrevenants pour qu’ils évitent de porter atteinte à
nouveau aux droits des citoyens.
Conclusion
Dès 1995, l'Union européenne a mis en place un cadre juridique via la directive
95/46/CE sur "la protection des personnes physiques à l'égard du traitement des données
à caractère personnel et à la libre circulation de ces données".
La Commission européenne souhaitait ainsi mettre en place un cadre uniforme de
protection favorisant la circulation des données personnelles résultant de l'ouverture des
frontières. Selon les mots de Viviane Reding en 2002, l'objectif était de "donner un coup
d'accélérateur à l'économie européenne". L'esprit du texte visait à protéger des risques
qui accompagnent le développement des usages et la consolidation des services en ligne,
sans étouffer les opportunités que représente ce formidable marché.
A l'heure actuelle, la disponibilité du Cloud alliée au traitement massif des données

et à la puissance de l'intelligence artificielle permet une utilisation toujours plus fine des
données et l'émergence de services plus personnalisés. En même temps, les
consommateurs et citoyens ont une conscience accrue des risques encourus. Avec les
scandales de Wikileaks ou de Cambridge Analytica comme les révélations du lanceur
d'alerte Edouard Snowden, ils comprennent que la surveillance dont ils peuvent faire
l'objet ne vise pas seulement des fins commerciales mais aussi politiques.
76
Le droit à la protection des données personnelles et le droit à la vie privée sont affirmés
comme deux droits à part entière. Le second postule ce que l'on appelle souvent "un
droit à être laissé tranquille". Ainsi en France, l'article 9 du Code civil énonce que
"chacun a droit au respect de sa vie privée". Il s'y adjoint une protection pénale du secret
des correspondances qui s'applique de manière transversale de la lettre missive au
courrier électronique.
Le premier, le droit à la protection des données personnelles, vise toutes les données
relatives à une personne physique, identifiée ou identifiable. Ce sont les noms et
prénoms mais aussi une vidéo ou une adresse IP sur internet. Le traitement de telles
données est réglementé comme toute opération de collecte, d'enregistrement,
d'organisation, d'adaptation, de conservation, d'interconnexion ou encore de destruction
de ces données.
Depuis 2009, la protection des données personnelles est un droit fondamental dans
l'Union européenne. C'est alors que se dessinent les contours d'un nouveau cadre
juridique qui s'applique désormais depuis le 25 mai 2018, le RGPD. Les négociations
autour de ce règlement se sont étalées sur quatre ans de janvier 2012 au 14 avril 2016 et
ont débouché sur une réforme globale du cadre juridique de la protection des données
personnelles. Une période transitoire d'applicabilité de deux ans a été l'occasion de
sensibiliser et de responsabiliser les citoyens européens comme les responsables de
traitement et leurs sous-traitants.
Ce règlement, qui remplace la directive de 1995, est complété d'une directive relative à
la protection des données à caractère personnel dans le cadre des activités policières et
judiciaires. Le rôle des régulateurs, nationaux comme la CNIL en France, et du Comité
européen de la protection des données (CEPD) qui vient remplacer le groupe de travail
de l'article 29 au niveau de l'Union, est étendu. Une coopération renforcée entre les
régulateurs nationaux et européen est en effet essentielle à une application cohérente et
prospective du RGPD.
Au Maroc La loi 09-08 accompagne et structure l’ensemble des volets du plan Maroc
Numérique 2013.
Son entrée totale en application, fin 2012, va progressivement faire évoluer la relation
qu’entretient le citoyen avec les technologies de l’information. Dès lors, il s’agit pour
les organismes marocains de se mettre en ordre de marche pour accompagner, voire
anticiper ce mouvement.
Pour autant, et même si des chantiers transverses peuvent dès à présent être lancés, il est
indispensable de prendre le temps de la réflexion et de procéder par étapes, en fonction
de ses enjeux et priorités propres. Progressivement, c’est l’ensemble des acteurs de
l’entreprise qu’il conviendra de mobiliser afin de mettre en place les dispositifs
transverses permettant d’assurer la conformité sur le long terme.
77
D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes.

Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel
de plus en plus mature, le niveau s’exigence en matière de conformité ne fera que croître.
À ce jour, l’absence logique d’une doctrine claire sur le sujet est perçue comme un
handicap majeur. Les interprétations des lois équivalentes votées en Europe
commencent néanmoins à converger ; un riche retour d’expérience existe donc et est à
disposition de qui saura méditer sur les bonnes pratiques internationales en la matière.
Bien plus, ce vide tout relatif constitue une opportunité unique de participer à
l’élaboration de cette doctrine au lieu de la subir. Il offre ainsi un droit précieux à l’erreur
pour les organismes qui, même tâtonnant, auront joué le jeu de la mise en conformité.
Enfin, au fur et à mesure que la pédagogie laissera place à la sanction, il y a fort à parier
que les exigences de la loi iront en se durcissant, à l’image de ce que l’on observe
aujourd’hui sur la scène internationale. En Europe comme aux États-Unis, on parle en
effet notamment de plus en plus de rendre obligatoire la notification publique de toute
violation à la protection des données à caractère personnel.
BIBLIOGRAPHIE
 Ouvrages généraux :
 ITEANU O., L’Identité numérique en question, Eyrolles, 2008.
 IFRAH L., L’Information et le renseignement par Internet. Comment gérer
l’information à l’heure du Web 2.0 ?, Que sais-je ?, n° 3881, PUF, 2010.
 KAPLAN D., Informatique, libertés, identités, Éditions FYP, Fing #8, 2010.
 MADEC A., Les Flux transfrontières de données : vers une économie
internationale de l’information ?, La Documentation française, Informatisation
et société, n° 12, 1982.
 KAYSER P., La Protection de la vie privée. Protection du secret de la vie privée,
Economica, PUAM, 1984.
 La Sécurité de l’individu numérisé. Réflexions prospectives et internationales,
L’Harmattan, 2008.
 VIVANT (M.) (dir.), Lamy droit de l’informatique et des réseaux, éd. Wolters
Kluwer, 2010.
 MAISL H., Le Droit des données publiques, LGDJ, 1996.
 LUCAS A., DEVÈZE J., FRAYSSINET J., Droit de l’informatique et de l’Internet,
Collection Thémis Droit privé, PUF, 2001.
 LEMOINE P., Commerce électronique, Marketing et Libertés, Cahier Laser n°
2, Descartes et Cie, 1999.
 LEPAGE A., Libertés et droits fondamentaux à l’épreuve de l’Internet : droits de
l’internaute, liberté d’expression sur l’Internet, responsabilité, Litec, 2002.
 Ouvrages spéciaux :
78
 Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme

édition 2018, Enfin un manuel complet sur le nouveau cadre juridique issu du
RGPD et de la loi Informatique et libertés de 2018.
 David Forest, Droit des données personnelles, Gualino, lextenso éditions.
 Jessica Eynard, Les données personnelles, Quelle définition pour un régime de
protection efficace ? prix de la CNIL, 2013, Michalon Editeur.
 Aurélie Banck & Catherine Schultis, Vade-mecum de la protection des données
personnelles pour le secteur bancaire et financier, RB édition 2018.
 LAFFAIRE M.-L., Protection des données à caractère personnel, Éd.
d’Organisation, 2005.
 Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La
loi Informatique et libertés et la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles,
Année de Publication: 2013.
 Banck, Aurélie, RGPD : la protection des données à caractère personnel :
Intègre l'ordonnance adaptant la loi Informatique et Libertés Ed.2, Editeur
Gualino Année de Publication 2019.
 C. Pierre-Beaux, La protection des données personnelles : Éd. Promoculture,
2005.
 M.-L. Oble-Laffaire, Protection des données à caractère personnel : Éd.
D’organisation, 2005.
 Association des Utilisateurs des Systèmes d’Information au Maroc en
collaboration avec la société SOLUCOM, Livre Blanc Données à caractère
personnel : Quels enjeux et comment se préparer à la loi 09-08 ?
 BENSOUSSAN (A.), Informatique et libertés, coll. Mémento, 2eme éd., Francis
Lefebvre, 2010.
 CNIL, Rapport annuel, La Documentation française, 2010.
 L’AFFAIRE (M.-L.), Protection des données à caractère personnel, éd.
d’Organisation, 2005.
 Thèses :
 Nathalie WALCZAK, La protection des données personnelles sur l'internet :
Analyse des discours et des enjeux sociopolitiques. Thèse de doctorat en Sciences
de l'information et de la communication  Sous la direction d’Isabelle GARCIN-
MARROU et de Franck REBILLARD Présentée et soutenue publiquement le 4
juillet 2014.
 Articles :
 Revue actualités du droit, publiée le 11 SEPTEMBRE 2018. consultable sur le
site : https://www.actualitesdudroit.fr/browse/techdroit/donnees/15626/les-
defis-du-rgpd
 Dans Hermès, La Revue 2009/1 (n° 53)
 Revue Cairn info. De nouvelles dispositions pour protéger les données personnelles
Florence Raynal, avec la collaboration de Fabienne Amiard et Delphine Carnel
Dans Documentaliste-Sciences de l'Information 2014/3 (Vol. 51), pages 23 à 25
consultable sur le site : https://www.cairn.info/revue-documentaliste-sciences-de-l-
79
information-2014-3-page
23.htm?contenu=plan&fbclid=IwAR2VX5ZskV5Duize7D1xCiBN4XNiz4uJqdJv8Nnbj
mb9hSrkmdnwjvD0GXk#pa2
 Rapports :
 Rapport sur la protection des données personnelles dans le cadre du secteur de
la sécurité au Maroc/ Séminaire DCAF-CEDHD 19 et 20 octobre 2015- Rabat,
Maroc.
 PROTECTION  DES DONNEES PERSONNELLES - ANALYSE COMPAREE
DES LEGISLATIONS ET DES PRATIQUES /DANS NEUF PAYS EUROPEENS
- dans le contexte du cadre juridique européen.
 Sites :
 www.village-justice.com/articles/administrateur-une-page-facebook-epreuve-
droit-des-donnees-personnelles-cjue,28713.html
 Site officiel de la CNDP consultable sur https://www.cndp.ma/fr/cndp/qui-
sommes-nous/commision.html
 Site officiel de la CNIL consultable sur https://www.cnil.fr/fr/reglement-europeen-
protection-donnees
ANNEXE
80
Cour de justice de l’Union européenne, Grande chambre, arrêt du 5 juin 2018
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-

Holstein GmbH
Co-responsable de traitement - données personnelles - finalité - réseau social - responsable d’une page
de fan
1 La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement

européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281,
p. 31).
2 Cette demande a été présentée dans le cadre d’un litige opposant l’Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du
Schleswig-Holstein, Allemagne) (ci-après l’« ULD ») à Wirtschaftsakademie Schleswig-Holstein
GmbH, société de droit privé spécialisée dans le domaine de l’éducation (ci-après «
Wirtschaftsakademie »), au sujet de la légalité d’une injonction faite par l’ULD à cette dernière de
désactiver sa page fan hébergée sur le site du réseau social Facebook (ci-après « Facebook »).
Le cadre juridique
Le droit de l’Union
3 Les considérants 10, 18, 19 et 26 de la directive 95/46 énoncent :
« (10) considérant que l’objet des législations nationales relatives au traitement des données à caractère
personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée
reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme
et des libertés fondamentales et dans les principes généraux du droit [de l’Union] ; que, pour cette raison,
81
le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais
doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans [l’Union]
(18) considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui
est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel
effectué dans [l’Union] respecte la législation de l’un des États membres ; que, à cet égard, il est
opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité
du responsable du traitement établi dans un État membre à l’application de la législation de cet État ;
(19) considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel
d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel
établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique,
n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de
plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue
d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit
national applicable aux activités de chacun d’eux ;
[…]
(26) considérant que les principes de la protection doivent s’appliquer à toute information concernant
une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient
de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le
responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes
de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne
concernée n’est plus identifiable ; […] »
4 L’article 1er de la directive 95/46, intitulé « Objet de la directive », prévoit :
« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits
fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des
2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère
personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe
1. »
5 L’article 2 de cette directive, intitulé « Définitions », est libellé comme suit :
« Aux fins de la présente directive, on entend par :
b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations
effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel,
telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage,
l’effacement ou la destruction
d) “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout
autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du
traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont
déterminés par des dispositions législatives ou réglementaires nationales ou [de l’Union], le responsable
du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou [de
l’Union] ;
e) [“sous-traitant”] : la personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
f) “tiers” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre
que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées
sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les
données ;
82
6 L’article 4 de ladite directive, intitulé « Droit national applicable », énonce, à son paragraphe 1 :
« Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive
aux traitements de données à caractère personnel lorsque :
a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement
sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de
plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de
ses établissements, des obligations prévues par le droit national applicable ;
b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa
loi nationale s’applique en vertu du droit international public ;
c) le responsable du traitement n’est pas établi sur le territoire de [l’Union] et recourt, à des fins de
traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire
dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de
[l’Union]. »
7 L’article 17 de la directive 95/46, intitulé « Sécurité des traitements », dispose, à ses paragraphes 1 et
2:
« 1. Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures
techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la
destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non
autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi
que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un
niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données
à protéger.
2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour
son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de
sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect
de ces mesures. »
8 L’article 24 de cette directive, intitulé « Sanctions », prévoit :
« Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions
de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des
dispositions prises en application de la présente directive. »
9 L’article 28 de ladite directive, intitulé « Autorité de contrôle », est libellé comme suit :
« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller
l’application, sur son territoire, des dispositions adoptées par les États membres en application de la
présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des
mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à
l’égard du traitement de données à caractère personnel.
3. Chaque autorité de contrôle dispose notamment :
– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement
et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,
– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la
mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de
ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire
temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une
admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres
institutions politiques,
83
– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la
présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.
Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.
6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a
compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est
investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur
demande d’une autorité d’un autre État membre.
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs
missions, notamment en échangeant toute information utile.
Le droit allemand
10 L’article 3, paragraphe 7, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données),
dans sa version applicable aux faits au principal (ci-après le « BDSG »), est libellé comme suit :
« On entend par organisme responsable toute personne ou tout organisme qui collecte, traite ou utilise
des données à caractère personnel pour son compte ou par l’intermédiaire d’autrui en sous-traitance. »
11 L’article 11 du BDSG, intitulé « Collecte, traitement ou utilisation de données à caractère personnel
par l’intermédiaire d’autrui en sous-traitance », est ainsi rédigé :
« (1) Si des données à caractère personnel sont collectées, traitées ou utilisées par l’intermédiaire
d’autres organismes en sous-traitance, le responsable du traitement en sous-traitance est responsable du
respect des dispositions de la présente loi et d’autres dispositions relatives à la protection des données.
[…]
(2) Le sous-traitant doit être rigoureusement choisi en tenant particulièrement compte du caractère
approprié des mesures techniques et organisationnelles qu’il a prises. La sous-traitance requiert la forme
écrite, étant entendu qu’il convient en particulier de déterminer en détail : […]
Le responsable du traitement en sous-traitance doit s’assurer du respect des mesures techniques et
organisationnelles prises par le sous-traitant avant le début du traitement des données, puis de manière
régulière. Le résultat doit être consigné.
[…] »
12 L’article 38, paragraphe 5, du BDSG dispose :
« Pour garantir le respect de la présente loi et d’autres dispositions relatives à la protection des données,
l’autorité de surveillance peut ordonner des mesures visant à remédier aux infractions constatées dans
la collecte, le traitement ou l’utilisation de données à caractère personnel ou à des manquements
techniques ou organisationnels. En cas d’infractions ou de manquements graves, notamment lorsque
ceux-ci représentent un risque particulier d’atteinte au droit à la vie privée, elle peut interdire la collecte,
le traitement ou l’utilisation, voire le recours à certaines procédures, lorsqu’il n’est pas remédié aux
infractions ou manquements en temps utile, en violation de l’injonction visée dans la première phrase et
en dépit de l’application d’une astreinte. Elle peut demander le renvoi de l’agent de protection des
données, s’il ne possède pas l’expertise et la fiabilité nécessaires pour accomplir ses tâches. »
13 L’article 12 du Telemediengesetz (loi sur les médias électroniques), du 26 février 2007 (BGBl. 2007
I, p. 179, ci-après le « TMG »), est libellé comme suit :
« (1) Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel aux fins
de la mise à disposition de médias électroniques que si la présente loi ou un autre instrument juridique
qui vise expressément les médias électroniques l’autorise ou si l’utilisateur y a consenti.
[…]
(3) Sauf dispositions contraires, la législation en vigueur régissant la protection des données à caractère
personnel doit être appliquée même si les données ne font pas l’objet d’un traitement automatisé. »
Le litige au principal et les questions préjudicielles
14 Wirtschaftsakademie offre des services de formation au moyen d’une page fan hébergée sur
Facebook.
84
15 Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des
particuliers ou des entreprises. Pour ce faire, l’auteur de la page fan, une fois enregistré auprès de
Facebook, peut utiliser la plateforme aménagée par ce dernier pour se présenter aux utilisateurs de ce
réseau social ainsi qu’aux personnes visitant la page fan et diffuser des communications de toute nature
sur le marché des médias et de l’opinion. Les administrateurs de pages fan peuvent obtenir des données
statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook
Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non
modifiables. Ces données sont collectées grâce à des fichiers témoins (ci-après les « cookies »)
comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur
le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan. Le code utilisateur,
qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook,
est collecté et traité au moment de l’ouverture des pages fan. À cet égard, il ressort de la décision de
renvoi que ni Wirtschaftsakademie ni Facebook Ireland Ltd n’ont évoqué l’opération de sauvegarde et
le fonctionnement de ce cookie ou le traitement consécutif des données, tout au moins au cours de la
période pertinente pour la procédure au principal.
16 Par décision du 3 novembre 2011 (ci-après la « décision attaquée »), l’ULD, en sa qualité d’autorité
de contrôle, au sens de l’article 28 de la directive 95/46, chargée de surveiller l’application sur le
territoire du Land du Schleswig-Holstein (Allemagne) des dispositions adoptées par la République
fédérale d’Allemagne en application de cette directive, a ordonné à Wirtschaftsakademie, conformément
à l’article 38, paragraphe 5, première phrase, du BDSG, de désactiver la page fan qu’elle avait créée sur
Facebook à l’adresse www.facebook.com/wirtschaftsakademie, sous peine d’astreinte en cas de non-
exécution dans le délai prescrit, au motif que ni Wirtschaftsakademie ni Facebook n’informaient les
visiteurs de la page fan que ce dernier collectait, à l’aide de cookies, des informations à caractère
personnel les concernant et qu’ils traitaient ensuite ces informations. Wirtschaftsakademie a introduit
une réclamation contre cette décision, en faisant valoir, en substance, qu’elle n’était responsable, au
regard du droit applicable à la protection des données, ni du traitement des données effectué par
Facebook ni des cookies installés par ce dernier.
17 Par décision du 16 décembre 2011, l’ULD a rejeté cette réclamation en considérant que la
responsabilité de Wirtschaftsakademie en tant que fournisseur de services était établie en application de
l’article 3, paragraphe 3, point 4, et de l’article 12, paragraphe 1, du TMG, en combinaison avec l’article
3, paragraphe 7, du BDSG. L’ULD a exposé que, en ayant créé sa page fan, Wirtschaftsakademie
apportait une contribution active et volontaire à la collecte, par Facebook, de données à caractère
personnel concernant les visiteurs de cette page fan, données dont elle profitait au moyen des statistiques
mises à sa disposition par ce dernier.
18 Wirtschaftsakademie a introduit un recours contre cette décision devant le Verwaltungsgericht
(tribunal administratif, Allemagne), en faisant valoir que le traitement des données à caractère personnel
effectué par Facebook ne pouvait lui être imputé et qu’elle n’avait pas non plus chargé Facebook de
procéder, au sens de l’article 11 du BDSG, au traitement de données qu’elle contrôlerait ou qu’elle
pourrait influencer. Wirtschaftsakademie en déduisait que l’ULD aurait dû agir directement contre
Facebook, et non adopter contre elle la décision attaquée.
19 Par un arrêt du 9 octobre 2013, le Verwaltungsgericht (tribunal administratif) a annulé la décision
attaquée au motif, en substance, que, l’administrateur d’une page fan sur Facebook n’étant pas un
organisme responsable au sens de l’article 3, paragraphe 7, du BDSG, Wirtschaftsakademie ne pouvait
être destinataire d’une mesure prise au titre de l’article 38, paragraphe 5, du BDSG.
20 L’Oberverwaltungsgericht (tribunal administratif supérieur, Allemagne) a rejeté l’appel introduit par
l’ULD contre cet arrêt comme étant non fondé. Cette juridiction a considéré en substance que
l’interdiction du traitement des données, énoncée dans la décision attaquée, était illégale, dans la mesure
où l’article 38, paragraphe 5, deuxième phrase, du BDSG prévoit un processus progressif, dont la
85
première étape permet uniquement d’adopter des mesures visant à remédier aux infractions constatées
lors du traitement de données. Une interdiction immédiate du traitement de données ne serait
envisageable que si une procédure de traitement de données est illicite dans sa globalité et que seule la
suspension de cette procédure permet d’y remédier. Or, selon l’Oberverwaltungsgericht (tribunal
administratif supérieur), tel n’aurait pas été le cas en l’espèce, dès lors que Facebook aurait eu la
possibilité de faire cesser les infractions alléguées par l’ULD.
21 L’Oberverwaltungsgericht (tribunal administratif supérieur) a ajouté que la décision attaquée était
illégale également pour le motif qu’une injonction au titre de l’article 38, paragraphe 5, du BDSG ne
peut être prononcée qu’à l’encontre de l’organisme responsable, au sens de l’article 3, paragraphe 7, du
BDSG, ce que ne serait pas Wirtschaftsakademie s’agissant des données collectées par Facebook. En
effet, seul Facebook déciderait de la finalité et des moyens relatifs à la collecte et au traitement des
données à caractère personnel utilisées dans le cadre de la fonction Facebook Insight,
Wirtschaftsakademie ne recevant, quant à elle, que des informations statistiques rendues anonymes.
22 L’ULD a introduit un recours en Revision devant le Bundesverwaltungsgericht (Cour administrative
fédérale, Allemagne), en invoquant, entre autres arguments, une violation de l’article 38, paragraphe 5,
du BDSG ainsi que plusieurs erreurs procédurales entachant la décision de la juridiction d’appel. Elle
considère que l’infraction commise par Wirtschaftsakademie tient au fait que celle-ci a confié à un
fournisseur inapproprié, car non respectueux du droit applicable à la protection des données, en
l’occurrence Facebook Ireland, le soin de la réalisation, de l’hébergement et de la maintenance d’un site
Internet. L’injonction faite à Wirtschaftsakademie, par la décision attaquée, de procéder à la
désactivation de sa page fan viserait ainsi à remédier à cette infraction, puisqu’elle lui ferait interdiction
de continuer à utiliser l’infrastructure de Facebook comme base technique de son site Internet.
23 À l’instar de l’Oberverwaltungsgericht (tribunal administratif supérieur), le
Bundesverwaltungsgericht (Cour administrative fédérale) est d’avis que Wirtschaftsakademie ne saurait
elle-même être considérée comme étant responsable du traitement de données, au sens de l’article 3,
paragraphe 7, du BDSG ou de l’article 2, sous d), de la directive 95/46. Cette dernière juridiction estime,
néanmoins, que cette notion doit être, en principe, interprétée de manière extensive dans l’intérêt d’une
protection efficace du droit à la vie privée, ainsi que la Cour l’aurait admis dans sa jurisprudence récente
en la matière. Elle éprouve, par ailleurs, des doutes quant aux pouvoirs dont dispose en l’occurrence
l’ULD à l’égard de Facebook Germany, eu égard au fait que le responsable de la collecte et du traitement
de données personnelles au sein du groupe Facebook est, au niveau de l’Union, Facebook Ireland. Enfin,
elle s’interroge sur l’incidence, aux fins de l’exercice des pouvoirs d’intervention de l’ULD, des
appréciations portées par l’autorité de contrôle dont relève Facebook Ireland quant à la légalité du
traitement de données personnelles en cause.
24 Dans ces conditions, le Bundesverwaltungsgericht (Cour administrative fédérale) a décidé de surseoir
à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 2, sous d), de la directive [95/46] doit-il être interprété en ce sens qu’il régit de manière
définitive et exhaustive la responsabilité en cas d’atteinte à la protection des données, ou peut-on encore,
dans le cadre des “mesures appropriées” visées à l’article 24 de [cette directive] et des “pouvoirs effectifs
d’intervention” visés à l’article 28, paragraphe 3, deuxième tiret, de [celle-ci], en présence de
fournisseurs d’informations en cascade, retenir la responsabilité d’un organisme qui n’est pas le
responsable du traitement des données au sens de l’article 2, sous d), de [ladite directive] au titre du
choix d’un administrateur pour son offre d’informations ?
2) Résulte-t-il, a contrario, de l’obligation des États membres découlant de l’article 17, paragraphe 2, de
la directive [95/46] d’exiger, dans le traitement des données en sous-traitance, que le responsable du
traitement “[choisisse] un sous-traitant qui apporte des garanties suffisantes au regard des mesures de
sécurité technique et d’organisation relatives aux traitements à effectuer”, qu’il n’existe, dans le cadre
d’autres utilisations n’impliquant aucun traitement de données en sous-traitance au sens de l’article 2,
86
sous e), de [cette directive], aucune obligation de faire un choix rigoureux, et que celle-ci ne [puisse]
pas non plus être instituée sur le fondement du droit national ?
3) Lorsqu’une société mère établie en dehors de l’Union européenne dispose d’établissements
juridiquement indépendants (filiales) dans différents États membres, l’autorité de contrôle d’un État
membre (en l’espèce l’Allemagne) est-elle également habilitée, en vertu de l’article 4 et de l’article 28,
paragraphe 6, de la directive [95/46], à exercer les pouvoirs dont elle est investie conformément à
l’article 28, paragraphe 3, de [celle-ci] à l’encontre de l’établissement situé sur son territoire, si cet
établissement assure uniquement la promotion et la vente d’espaces publicitaires ainsi que d’autres
mesures de marketing destinées aux habitants de cet État membre, alors que l’établissement indépendant
(filiale) établi dans un autre État membre (en l’espèce l’Irlande) a, en vertu de la répartition des missions
au sein du groupe, la responsabilité exclusive de la collecte et du traitement des données à caractère
personnel sur l’ensemble du territoire de l’Union européenne et donc également dans l’autre État
membre (en l’espèce l’Allemagne), si la décision relative au traitement des données est en fait prise par
la société mère ?
4) L’article 4, paragraphe 1, et l’article 28, paragraphe 3, de la directive [95/46] doivent-ils être
interprétés en ce sens que, lorsque le responsable du traitement possède un établissement sur le territoire
d’un État membre (en l’espèce l’Irlande), et qu’il existe un autre établissement juridiquement
indépendant sur le territoire d’un autre État membre (en l’espèce l’Allemagne), lequel est chargé, entre
autres, de la vente d’espaces publicitaires, et dont l’activité est destinée aux habitants de cet État,
l’autorité de contrôle compétente dans cet autre État membre (en l’espèce l’Allemagne) peut prendre
des mesures et des injonctions en vue de mettre en œuvre le droit applicable à la protection des données,
y compris à l’encontre de l’autre établissement qui n’est pas responsable du traitement des données
d’après la répartition des missions et responsabilités au sein du groupe (en l’espèce l’Allemagne), ou les
mesures et injonctions ne doivent-elles, dans ce cas, être prises que par l’autorité de contrôle de l’État
membre (en l’espèce l’Irlande) sur le territoire duquel l’organisme responsable au sein du groupe a son
siège ?
5) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive [95/46] doivent-
ils être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre (en l’espèce
l’Allemagne) met en cause une personne ou un organisme exerçant ses activités sur son territoire en
application de l’article 28, paragraphe 3, de [cette directive] en raison du choix non rigoureux d’un tiers
impliqué dans le processus de traitement des données (en l’espèce Facebook), au motif que ce tiers a
enfreint le droit applicable à la protection des données, l’autorité de contrôle intervenante (en l’espèce
l’Allemagne) est liée par l’appréciation au regard du droit applicable à la protection des données
émanant de l’autorité de contrôle de l’autre État membre, dans lequel le tiers responsable du traitement
des données a son établissement (en l’espèce l’Irlande), en ce sens qu’elle n’est pas habilitée à émettre
une appréciation juridique divergente, ou l’autorité de contrôle intervenante (en l’espèce l’Allemagne)
peut-elle examiner de manière autonome la légalité du traitement des données effectué par le tiers établi
dans un autre État membre (en l’espèce l’Irlande) à titre incident ?
6) Dans l’hypothèse où l’autorité de contrôle intervenante (en l’espèce l’Allemagne) [serait] habilitée à
effectuer un contrôle autonome : l’article 28, paragraphe 6, deuxième phrase, de la directive [95/46]
doit-il être interprété en ce sens que cette autorité de contrôle ne peut exercer les pouvoirs effectifs
d’intervention dont elle est investie conformément à l’article 28, paragraphe 3, de [cette] directive à
l’encontre d’une personne ou d’un organisme établis sur son territoire au titre de leur part de
responsabilité dans les atteintes à la protection des données commises par le tiers établi dans un autre
État membre que si elle a préalablement appelé l’autorité de contrôle de cet autre État membre (en
l’espèce l’Irlande) à exercer ses pouvoirs ? »
Sur les questions préjudicielles
Sur les première et deuxième questions
87
25 Par ses première et deuxième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi
vise, en substance, à savoir si l’article 2, sous d), l’article 17, paragraphe 2, l’article 24 et l’article 28,
paragraphe 3, deuxième tiret, de la directive 95/46 doivent être interprétés en ce sens qu’ils permettent
de retenir la responsabilité d’un organisme, en sa qualité d’administrateur d’une page fan hébergée sur
un réseau social, en cas d’atteinte aux règles relatives à la protection des données à caractère personnel,
en raison du choix d’avoir recours à ce réseau social pour diffuser son offre d’informations.
26 Afin de répondre à ces questions, il convient de rappeler que, ainsi qu’il résulte de son article 1er,
paragraphe 1, et de son considérant 10, la directive 95/46 vise à garantir un niveau élevé de protection
des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, a’
l’égard du traitement des données a’ caractère personnel (arrêt du 11 décembre 2014, Ryneš, C-212/13,
EU:C:2014:2428, point 27 et jurisprudence citée).
27 Conformément à cet objectif, l’article 2, sous d), de cette directive définit de manière large la notion
de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le
service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les
moyens du traitement de données à caractère personnel.
28 En effet, ainsi que la Cour l’a déjà jugé, l’objectif de cette disposition est d’assurer, par une définition
large de la notion de « responsable », une protection efficace et complète des personnes concernées
(arrêt du 13 mai 2014, Google Spain et Google, C-131/12, EU:C:2014:317, point 34).
29 En outre, dès lors que, ainsi que le prévoit expressément l’article 2, sous d), de la directive 95/46, la
notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres »,
détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne
renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce
traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection
des données.
30 En l’occurrence, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland doivent être regardées
comme déterminant, à titre principal, les finalités et les moyens du traitement des données à caractère
personnel des utilisateurs de Facebook ainsi que des personnes ayant visité les pages fan hébergées sur
Facebook, et relèvent ainsi de la notion de « responsable du traitement », au sens de l’article 2, sous d),
de la directive 95/46, ce qui n’est pas mis en doute dans la présente affaire.
31 Cela étant, et afin de répondre aux questions posées, il y a lieu d’examiner si et dans quelle mesure
l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, contribue, dans le
cadre de cette page fan, à déterminer, conjointement avec Facebook Ireland et Facebook Inc., les
finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut
donc, lui aussi, être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d),
de la directive 95/46.
32 À cet égard, il apparaît que toute personne souhaitant créer une page fan sur Facebook conclut avec
Facebook Ireland un contrat spécifique relatif à l’ouverture d’une telle page et souscrit, à ce titre, aux
conditions d’utilisation de cette page, y compris à la politique en matière de cookies qui y est relative,
ce qu’il appartient à la juridiction nationale de vérifier.
33 Ainsi qu’il ressort du dossier soumis à la Cour, les traitements de données en cause au principal sont
essentiellement effectués moyennant le placement, par Facebook, sur l’ordinateur ou sur tout autre
appareil des personnes ayant visité la page fan, de cookies visant à stocker des informations sur les
navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés. Il en ressort également
que, en pratique, Facebook reçoit, enregistre et traite les informations stockées dans les cookies
notamment lorsqu’une personne visite « les services Facebook, les services proposés par d’autres
compagnies Facebook et des services proposés par d’autres entreprises qui utilisent les services
Facebook ». En outre, d’autres entités, telles que les partenaires de Facebook ou même des tiers, « sont
88
susceptibles d’utiliser des cookies sur les services Facebook pour [proposer des services directement à
ce réseau social] ainsi qu’aux entreprises qui font de la publicité sur Facebook ».
34 Ces traitements de données à caractère personnel visent notamment à permettre, d’une part, à
Facebook d’améliorer son système de publicité qu’il diffuse à travers son réseau et, d’autre part, à
l’administrateur de la page fan d’obtenir des statistiques établies par Facebook à partir des visites de
cette page, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple,
le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur
proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser
davantage.
35 Or, si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook
coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en
revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une
telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil
de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook.
36 Dans ce cadre, il ressort des indications soumises à la Cour que la création d’une page fan sur
Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment,
de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le
traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir
des visites de la page fan. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook,
définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories
de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook.
Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des
données à caractère personnel des visiteurs de sa page.
37 En particulier, l’administrateur de la page fan peut demander à obtenir – et donc que soient traitées
– des données démographiques concernant son audience cible, notamment des tendances en matière
d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres
d’intérêt de son audience cible ainsi que des informations concernant les achats et le comportement
d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le
plus, de même que des données géographiques qui permettent à l’administrateur de la page fan de savoir
où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de
cibler au mieux son offre d’informations.
38 S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à
l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que
l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par
Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement
des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive
95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même
traitement, que chacun ait accès aux données à caractère personnel concernées.
39 Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur
Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction,
notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la
détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa
page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de
l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la
directive 95/46.
40 En effet, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par
Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations
en matière de protection des données à caractère personnel.
89
41 Au demeurant, il importe de souligner que les pages fan hébergées sur Facebook peuvent être visitées
également par des personnes qui ne sont pas utilisateurs de Facebook et qui ne disposent donc pas d’un
compte utilisateur sur ce réseau social. Dans ce cas, la responsabilité de l’administrateur de la page fan
à l’égard du traitement des données à caractère personnel de ces personnes apparaît encore plus
importante, car la simple consultation de la page fan par des visiteurs déclenche automatiquement le
traitement de leurs données à caractère personnel.
42 Dans ces conditions, la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social
et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données
personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits
dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive
95/46.
43 Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses
conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une
responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère
personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et
selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être
évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.
44 Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième
questions que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de «
responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan
hébergée sur un réseau social.
Sur les troisième et quatrième questions
45 Par ses troisième et quatrième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi
vise, en substance, à savoir si les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens
que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans
différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs
que lui confère l’article 28, paragraphe 3, de cette directive, à l’égard d’un établissement situé sur le
territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe,
d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres
activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de
la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de
l’Union, à un établissement situé dans un autre État membre, ou s’il appartient à l’autorité de contrôle
de ce dernier État membre d’exercer ces pouvoirs à l’égard du second établissement.
46 L’ULD et le gouvernement italien émettent des doutes quant à la recevabilité de ces questions au
motif qu’elles ne seraient pas pertinentes pour la solution du litige au principal. En effet, la décision
attaquée aurait pour destinataire Wirtschaftsakademie et ne viserait donc ni Facebook Inc. ni aucune de
ses filiales établies sur le territoire de l’Union.
47 À cet égard, il convient de rappeler que, dans le cadre de la coopération entre la Cour et les
juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national, qui est saisi du
litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au
regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure
de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors
que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue
de statuer (arrêt du 6 septembre 2016, Petruhhin, C-182/15, EU:C:2016:630, point 19 et jurisprudence
citée).
48 En l’occurrence, il convient de relever que la juridiction de renvoi fait valoir qu’une réponse de la
Cour aux troisième et quatrième questions préjudicielles lui est nécessaire pour statuer sur le litige au
principal. Elle explique en effet que, dans le cas où il serait constaté, à la lumière de cette réponse, que
90
l’ULD pouvait remédier aux atteintes alléguées au droit à la protection des données à caractère personnel
en prenant une mesure contre Facebook Germany, une telle circonstance serait susceptible d’établir
l’existence d’une erreur d’appréciation entachant la décision attaquée, en ce qu’elle aurait été prise à
tort à l’encontre de Wirtschaftsakademie.
49 Dans ces conditions, les troisième et quatrième questions sont recevables.
50 Afin de répondre à ces questions, il importe de rappeler à titre liminaire que, en vertu de l’article 28,
paragraphes 1 et 3, de la directive 95/46, chaque autorité de contrôle exerce l’ensemble des pouvoirs qui
lui ont été conférés par le droit national sur le territoire de l’État membre dont elle relève, afin d’assurer
sur ce territoire le respect des règles en matière de protection des données (voir, en ce sens, arrêt du 1er
octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, point 51).
51 La question de savoir quel droit national s’applique au traitement des données à caractère personnel
est régie par l’article 4 de la directive 95/46. Aux termes du paragraphe 1, sous a), de cet article, chaque
État membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements
de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un
établissement du responsable du traitement sur le territoire de cet État membre. Cette disposition précise
que, si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit
prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations
prévues par le droit national applicable.
52 Il découle ainsi d’une lecture combinée de cette disposition et de l’article 28, paragraphes 1 et 3, de
la directive 95/46 que, lorsque le droit national de l’État membre dont relève l’autorité de contrôle est
applicable en vertu de l’article 4, paragraphe 1, sous a), de celle-ci, en raison du fait que le traitement
en cause est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le
territoire de cet État membre, cette autorité de contrôle peut exercer l’ensemble des pouvoirs qui lui sont
conférés par ce droit à l’égard de cet établissement, et ce indépendamment du point de savoir si le
responsable du traitement dispose d’établissements également dans d’autres États membres.
53 Ainsi, afin de déterminer si une autorité de contrôle est fondée, dans des circonstances telles que
celles au principal, à exercer à l’égard d’un établissement situé sur le territoire de l’État membre dont
elle relève les pouvoirs qui lui sont conférés par le droit national, il y a lieu de vérifier si les deux
conditions posées par l’article 4, paragraphe 1, sous a), de la directive 96/46 sont réunies, à savoir, d’une
part, s’il s’agit d’un « établissement du responsable du traitement », au sens de cette disposition, et,
d’autre part, si ledit traitement est effectué « dans le cadre des activités » de cet établissement, au sens
de la même disposition.
54 S’agissant, en premier lieu, de la condition selon laquelle le responsable du traitement de données à
caractère personnel doit disposer d’un établissement sur le territoire de l’État membre dont relève
l’autorité de contrôle concernée, il importe de rappeler que, selon le considérant 19 de la directive 95/46,
l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au
moyen d’une installation stable et que la forme juridique retenue pour un tel établissement, qu’il s’agisse
d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante (arrêt du
1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, point 28 et jurisprudence citée).
55 En l’occurrence, il est constant que Facebook Inc., en tant que responsable du traitement de données
à caractère personnel, conjointement avec Facebook Ireland, dispose d’un établissement stable en
Allemagne, à savoir Facebook Germany, situé à Hambourg, et que cette dernière société exerce
réellement et effectivement des activités dans ledit État membre. De ce fait, elle constitue un
établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.
56 S’agissant, en second lieu, de la condition selon laquelle le traitement de données à caractère
personnel doit être effectué « dans le cadre des activités » de l’établissement concerné, il y a lieu de
rappeler, tout d’abord, que, au vu de l’objectif poursuivi par la directive 95/46, consistant à assurer une
protection efficace et complète des libertés et des droits fondamentaux des personnes physiques,
91
notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel,
l’expression « dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation
restrictive (arrêt du 1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, point 25 et jurisprudence
citée).
57 Ensuite, il importe de souligner que l’article 4, paragraphe 1, sous a), de la directive 95/46 exige non
pas qu’un tel traitement soit effectué « par » l’établissement concerné lui-même, mais uniquement qu’il
le soit « dans le cadre des activités » de celui-ci (arrêt du 13 mai 2014, Google Spain et Google,
C-131/12, EU:C:2014:317, point 52).
58 En l’occurrence, il ressort de la décision de renvoi ainsi que des observations écrites déposées par
Facebook Ireland que Facebook Germany est chargée de la promotion et de la vente d’espaces
publicitaires et se livre à des activités destinées aux personnes résidant en Allemagne.
59 Ainsi qu’il a été rappelé aux points 33 et 34 du présent arrêt, le traitement de données à caractère
personnel en cause au principal, effectué par Facebook Inc. conjointement avec Facebook Ireland et qui
consiste en la collecte de telles données par l’intermédiaire de cookies installés sur les ordinateurs ou
sur tout autre appareil des visiteurs des pages fan hébergées sur Facebook, a notamment pour objectif
de permettre à ce réseau social d’améliorer son système de publicité afin de mieux cibler les
communications qu’il diffuse.
60 Or, comme l’a relevé M. l’avocat général au point 94 de ses conclusions, étant donné, d’une part,
qu’un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment,
à la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent et, d’autre
part, que l’établissement de Facebook situé en Allemagne est destiné à assurer, dans cet État membre,
la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par
Facebook, les activités de cet établissement doivent être considérées comme étant indissociablement
liées au traitement de données à caractère personnel en cause au principal, dont Facebook Inc. est le
responsable conjointement avec Facebook Ireland. Partant, un tel traitement doit être regardé comme
étant effectué dans le cadre des activités d’un établissement du responsable du traitement, au sens de
l’article 4, paragraphe 1, sous a), de la directive 95/46 (voir, en ce sens, arrêt du 13 mai 2014, Google
Spain et Google, C-131/12, EU:C:2014:317, points 55 et 56).
61 Il s’ensuit que, le droit allemand étant, en vertu de l’article 4, paragraphe 1, sous a), de la directive
95/46, applicable au traitement des données à caractère personnel en cause au principal, l’autorité de
contrôle allemande était compétente, conformément à l’article 28, paragraphe 1, de cette directive, pour
appliquer ce droit audit traitement.
62 Par conséquent, cette autorité de contrôle était compétente, aux fins d’assurer le respect, sur le
territoire allemand, des règles en matière de protection des données à caractère personnel, pour mettre
en œuvre, à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des
dispositions nationales transposant l’article 28, paragraphe 3, de la directive 95/46.
63 Il convient encore de préciser que la circonstance, mise en exergue par la juridiction de renvoi dans
sa troisième question, selon laquelle les stratégies décisionnelles quant à la collecte et au traitement de
données personnelles relatives à des personnes résidant sur le territoire de l’Union sont prises par une
société mère établie dans un pays tiers, telle que, en l’occurrence, Facebook Inc., n’est pas de nature à
remettre en cause la compétence de l’autorité de contrôle relevant du droit d’un État membre à l’égard
d’un établissement, situé sur le territoire de ce même État, du responsable du traitement desdites
données.
64 Au regard de ce qui précède, il convient de répondre aux troisième et quatrième questions que les
articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie
en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de
contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe
3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État
92
membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet
établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de
marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte
et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à
un établissement situé dans un autre État membre.
Sur les cinquième et sixième questions
65 Par ses cinquième et sixième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi
demande, en substance, si l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la
directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre
entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs
d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles
relatives à la protection des données à caractère personnel, commises par un tiers responsable du
traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est
compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État
membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard
de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État
membre à intervenir.
66 Afin de répondre à ces questions, il y a lieu de rappeler, ainsi qu’il ressort de la réponse apportée aux
première et deuxième questions préjudicielles, que l’article 2, sous d), de la directive 95/46 doit être
interprété en ce sens qu’il permet, dans des circonstances telles que celles au principal, de retenir la
responsabilité d’un organisme, tel que Wirtschaftsakademie, en sa qualité d’administrateur d’une page
fan hébergée sur Facebook, en cas d’atteinte aux règles relatives à la protection des données à caractère
personnel.
67 Il s’ensuit que, en vertu de l’article 4, paragraphe 1, sous a), ainsi que de l’article 28, paragraphes 1
et 3, de la directive 95/46, l’autorité de contrôle de l’État membre sur le territoire duquel cet organisme
est établi est compétente pour appliquer son droit national et, ainsi, mettre en œuvre, à l’encontre dudit
organisme, l’ensemble des pouvoirs qui lui sont conférés par ce droit national, conformément à l’article
28, paragraphe 3, de cette directive.
68 Ainsi que le prévoit l’article 28, paragraphe 1, second alinéa, de ladite directive, les autorités de
contrôle chargées de surveiller l’application, sur le territoire des États membres dont elles relèvent, des
dispositions adoptées par ces derniers en application de la même directive exercent en toute
indépendance les missions dont elles sont investies. Cette exigence résulte également du droit primaire
de l’Union, notamment de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union
européenne et de l’article 16, paragraphe 2, TFUE (voir, en ce sens, arrêt du 6 octobre 2015, Schrems,
C-362/14, EU:C:2015:650, point 40).
69 En outre, si, en vertu de l’article 28, paragraphe 6, second alinéa, de la directive 95/46, les autorités
de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions,
notamment en échangeant toute information utile, cette même directive ne prévoit aucun critère de
priorité régissant l’intervention des autorités de contrôle les unes par rapport aux autres ni ne prescrit
l’obligation pour une autorité de contrôle d’un État membre de se conformer à la position exprimée, le
cas échéant, par l’autorité de contrôle d’un autre État membre.
70 Ainsi, rien n’oblige une autorité de contrôle dont la compétence est reconnue en vertu de son droit
national à faire sienne la solution retenue par une autre autorité de contrôle dans une situation analogue.
71 À cet égard, il importe de rappeler que, les autorités nationales de contrôle étant, conformément à
l’article 8, paragraphe 3, de la charte des droits fondamentaux et à l’article 28 de la directive 95/46,
chargées du contrôle du respect des règles de l’Union relatives à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel, chacune d’entre elles est donc investie de la
compétence de vérifier si un traitement de données à caractère personnel sur le territoire de l’État
93
membre dont elle relève respecte les exigences posées par la directive 95/46 (voir, en ce sens, arrêt du
6 octobre 2015, Schrems, C-362/14, EU:C:2015:650, point 47).
72 L’article 28 de la directive 95/46 s’appliquant, par sa nature même, à tout traitement de données à
caractère personnel, même en présence d’une décision d’une autorité de contrôle d’un autre État
membre, une autorité de contrôle, saisie par une personne d’une demande relative à la protection de ses
droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doit examiner,
en toute indépendance, si le traitement de ces données respecte les exigences posées par ladite directive
(voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C-362/14, EU:C:2015:650, point 57).
73 Il s’ensuit que, en l’occurrence, en vertu du système établi par la directive 95/46, l’ULD était habilitée
à apprécier, de manière autonome par rapport aux évaluations effectuées par l’autorité de contrôle
irlandaise, la légalité du traitement de données en cause au principal.
74 Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 4,
paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en
ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme
établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3,
de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère
personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un
autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par
rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et
peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans
préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.
Sur les dépens
75 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la
juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre
des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un
remboursement.
DÉCISION
1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre
1995, relative à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la
notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur
d’une page fan hébergée sur un réseau social.
2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une
entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans
différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les
pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement
de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la
répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement
de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État
membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à
caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un
établissement situé dans un autre État membre.
3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent
être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à
l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés
à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la
protection des données à caractère personnel, commises par un tiers responsable du traitement
94
de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est
compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce
dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs
d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler
l’autorité de contrôle de l’autre État membre à intervenir.
La Cour : K. Lenaerts (président), A. Tizzano (vice-président), M. Ilešič, L. Bay Larsen, T. von
Danwitz, A. Rosas, J. Malenovský et E. Levits (présidents de chambre), E. Juhász, A. Borg Barthet,
F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras et E. Regan (juges), C. Strömholm (greffier)
Aavocat général : Y. Bot
Avocats : Me U. Karpenstein, Me Kottmann, Me C. Wolff, Me C. Eggers, Me H.-G. Kamann,
Me Braun, Me I. Perego, Me P. Gentili
Source : curia.europa.eu
Commentaire d’arrêt Cour de justice de l’Union européenne,

Grande chambre, arrêt du 5 juin 2018
L’arrêt Wirtschafttsakademie du 5 juin 2018 a été l’occasion pour la Cour de justice d’affiner son
interprétation de la notion de responsable de traitement telle que définie par la directive du 24 octobre
1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et de retenir la qualification de responsable de
traitement à un administrateur d’une page fan Facebook.
Se référant à une interprétation extensive de la notion de responsable de traitement visant à renforcer la

protection des droits des données personnelles des internautes qu’elle a maintes fois rappelée, la Cour
précisait que la notion de responsable de traitement, telle que définie à l’article 2 de la directive 95/46,
n’implique pas que le responsable réalise le traitement en cause ou ait un accès aux données.
Elle considérait ainsi que seule la contribution de ce dernier au traitement des données et leur influence
sur la finalité et les moyens dudit traitement permettaient de retenir une telle qualification.
Ainsi, une action de « paramétrage », permettant à l’administrateur de cibler, en fonction d’une audience
et des objectifs de gestion ou de promotion d’activité commerciale, une catégorie d’internautes, était
suffisant pour permettre de caractériser les finalités et les moyens d’un traitement de données à caractère
personnel.
L’élargissement de la notion de responsable de traitement s’est d’ailleurs confirmée un mois plus tard à
la suite d’un arrêt rendu par la CJUE en date du 10 juillet 2018 aux termes duquel il a été jugé que des
prédicateurs de la communauté des témoins de Jéhovah étaient des responsables conjoints de traitement
au regard des fiches qu’ils détenaient et qui contenaient des données à caractère personnel comportant
des noms et des adresses ainsi que d’autres informations précises relatives aux personnes démarchées.
95
La CJUE a considéré que cette communauté agissait à des fins propres sur le traitement en cause et
participait par conséquent à la définition de ses finalités, répondant ainsi aux critères juridiques d’un
responsable de traitement.
La communauté religieuse en question se voyait qualifiée de responsable de traitement alors même
qu’elle indiquait ne pas avoir accès aux données contenues dans les fiches litigieuses ni avoir émis
aucune consigne ou directives écrites concernant leur agencement.
La Cour de Justice franchissait donc un nouveau palier en affinant davantage son interprétation de cette
notion clé et rappelait que toute personne physique ou morale tirant essentiellement profit d’une activité
de traitement de données peut être qualifiée de responsable de traitement.
Mais bien plus que dans ces deux arrêts, de nouveaux enseignements sur l’évolution progressive de la
notion de responsable de traitement sont apportés dans les conclusions de l’avocat général rendues dans
l’affaire Wirtschafttsakademie et présentées le 24 octobre 2017.
Aux termes de ces conclusions, l’avocat général motive son argumentaire en faisant un judicieux
parallèle avec l’affaire FASHION ID actuellement pendante devant la Haute juridiction
communautaire au sujet de « la situation dans laquelle le gestionnaire d’un site web insère dans son
site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) .
Comme un couperet, celui-ci indique clairement au considérant 69 de ses conclusions qu’il n’existe pas
« de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant
d’un site web qui intègre le code d’un fournisseur de service webtracking à son site web et favorise
ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de
données au profit du fournisseur de services de webtracking ».
C’est donc à l’aune de cet avis que se dessinent progressivement les contours d’une notion de
responsable de traitement toujours plus grandissante et dont il convient d’analyser les effets.
1. Sur les circonstances entourant l’affaire « Fashion ID » et l’avis présenté le 24 octobre 2017
La société FASHION ID dont l’objet social est la vente d’article de modes en ligne, a intégré un logiciel
d’application complémentaire connu sous le très célèbre nom « j’aime » et fourni par le réseau social
Facebook, sur son site internet.
La conséquence notable d’une telle intégration réside dans le fait que chaque utilisateur se rendant sur
le site en question transmettait automatiquement à Facebook des informations concernant son adresse
IP ainsi que l’ensemble des textes saisis sur son navigateur, indépendamment de tout utilisation de la
fonction « j’aime » et du fait de disposer d’un compte affilié au réseau social.
C’est dans ces conditions qu’une association de protection des consommateurs allemande a assigné la
société FASHION ID motif pris que l’insertion dans son site web du module « j’aime » fourni par
Facebook violait les dispositions relatives à la protection des données personnelles.
La juridiction allemande saisie du litige a sursoit à statuer afin d’interroger la Cour de Justice de l’Union
Européenne sur la qualification potentielle de la société FASHION ID en qualité de responsable de
traitement.
La décision de la Cour de Justice de l’Union Européenne se fait attendre, mais l’avis prépondérant de
l’avocat général est suffisamment clair : la personne physique ou morale intégrant un logiciel tel que la
fonctionnalité « j’aime » sur son site internet sera conjointement responsable avec Facebook de cette
phase de traitement.
En raisonnant par analogie avec l’affaire Wirtschafttsakademie, l’avocat général rappelle qu’à « l’instar
de ce qui se produit en cas de consultation d’une page fan, la consultation d’un site web contenant un
plugin social va déclencher une transmission de données à caractère personnel vers le fournisseur
concerné » et donc exercer une « influence » sur la phase de traitement en lien « avec la transmission
de données à caractère personnel à Facebook ».
C’est donc à raison de l’insertion d’un tel module que le gestionnaire d’un site internet devrait être
qualifié de responsable de traitement.
96
2. Un niveau de responsabilité à géométrie variable

Bien que retenue, la notion de responsabilité conjointe implique quelques subtilités que l’avocat général
ne manque pas de rappeler.
Ainsi et tout en se référant à l’avis 1/2010 rendu par le groupe de travail « Article 29 » sur la protection
des données adopté le 16 février 2010, l’avocat général rappelle que « l’existence d’une responsabilité
conjointe ne signifie pas une responsabilité sur un pied d’égalité ».
Ce faisant, les différents responsables du traitement de données à caractère personnel peuvent être
« chargés » à différents « stades » et à « différents degrés » en fonction des opérations pour lesquelles
ces derniers ont décidé, de concert ou individuellement, les finalités et les moyens du traitement des
Dans cet ordre d’idées, la responsabilité d’une personne en qualité de responsable de traitement ne
pourra être retenue pour une partie dont elle n’était pas en mesure de déterminer la finalité et les moyens,
ce qui implique, comme l’indique l’avocat général, que chaque typologie de coresponsabilité soit
examinée « avec une certaine souplesse » permettant de « tenir compte de la complexité croissante de
la réalité actuelle du traitement de données ».
Dans le cadre de l’affaire actuellement soumise à l’appréciation de la Cour de Justice, la société
FASHION ID et Facebook Ireland semblent vraisemblablement décider des finalités et des moyens du
traitement des données au stade de leur collecte et de leur transmission.
Il est d’ailleurs manifeste que l’insertion d’un tel module social était guidée par une finalité
promotionnelle et commerciale permettant à la société FASHION ID de bénéficier d’une exposition
médiatique de ses produits sur le réseau social Facebook.
C’est donc dans le cadre de cette collecte et de la transmission de données qui s’ensuit que FASHION
ID s’est comporté comme un responsable de traitement, encourant une responsabilité conjointe avec
Facebook Ireland.
Il conviendra toutefois, comme le suggère l’avocat général, que les intérêts légitimes de chaque
responsable conjoint des traitements soit pris en compte avec ceux des utilisateurs au regard de la sacre
sainte règle du contrôle de proportionnalité.
3. Les conséquences d’une future décision de la CJUE confirmant l’avis commenté
Si la Cour de Justice venait à confirmer l’analyse de l’avocat général, il est clair que l’insertion d’un
module social aussi répandu que le bouton « j’aime » emportera des conséquences juridiques pour tout
gestionnaire d’un site web au regard du « Règlement général sur la Protection des Données »
n°2016/679 entré en vigueur le 25 mai dernier.
Puisque cet usage emportera la qualification de responsable de traitement, le gestionnaire du site internet
devra désormais s’enquérir de l’ensemble des obligations inhérentes à une telle qualification et
notamment informer préalablement les personnes concernées de l’utilisation d’un tel module aux fins
que ces derniers consentent à la transmission de leurs données au réseau social Facebook.
En effet, il convient de rappeler que L’alinéa 1er de l’article 13 du Règlement 2016/679 dispose que le
responsable du traitement doit désormais fournir, au moment où les données en question sont obtenues,
toutes les informations suivantes :
➢ l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du
responsable du traitement
➢ le cas échéant, les coordonnées du délégué à la protection des données ;
➢ les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base
juridique du traitement ;
➢ les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
et
➢ son intention éventuelle d’effectuer un transfert de données à caractère personnel vers un pays tiers
97
ou à une organisation internationale, et l’existence ou l’absence d’une protection adéquate desdites

données ;
Outre ces informations, l’alinéa 2 de cet article impose également au Responsable de traitement la
fourniture d’informations « complémentaires » destinées à « garantir un traitement équitable et
transparent », à savoir :
➢ la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les
critères utilisés pour déterminer cette durée ;
➢ l’existence du droit de solliciter l’accès aux données, leur rectification ou leur effacement ainsi
qu’une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement
et du droit à la portabilité des données ;
➢ l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du
traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
➢ le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
➢ l’existence du droit de diligenter une procédure auprès d’une autorité de contrôle telle que la
Commission Informatique et Liberté (CNIL) en France ;
➢ L’existence d’une prise de décision automatisée, « y compris un profilage », ainsi que toutes les
informations nécessaires concernant la logique de l’algorithme, ainsi que l’importance et les
conséquences prévues de ce traitement pour la personne concernée
En outre, et si la barrière du consentement exprès de l’utilisateur est passée, le responsable de traitement
se verra également dans l’obligation de tenir un registre des données collectées « sous [sa]
responsabilité » conformément à l’article 30 du RGPD, lequel devra mentionner outre ses coordonnées
complètes, sa finalité, les catégories de personnes et des données concernées mais également « une
description générale des mesures de sécurité techniques et organisationnelles » (article 30 g) Règlement
2016/679).
Autant de contraintes qui inciteront vraisemblablement certains sites internet à renoncer
progressivement au « coup de pouce » de Facebook ou au contraire à modifier de nouveau leurs
conditions générales d’utilisation ainsi que leur politique de confidentialité.
Ceci semble d’ores et déjà être le cas de certains sites internet qui précisent déjà ne pas utiliser « les
plug-ins sociaux fournis clef en main par Facebook » et opter « pour l’inclusion de simples liens, sans
tracker .
Reste à savoir si la CJUE accueillera, pouce levé, l’analyse de l’avocat général lors de sa prochaine
décision attendue prochainement.
98
TABLE DES MATIERES
TABLEAU DES ABREVIATIONS ......................................................................................................................................... 5

APERÇU ........................................................................................................................................................................................... 6
SOMMAIRE................................................................................................................................................................................. 7
INTRODUCTION ............................................................................................................................................................................. 8
 CHAPITRE I : LA PROTECTION JURIDIQUE DES DONNEES A CARACTERE PERSONNEL ........... 15
SECTION I : LE DISPOSITIF MAROCAIN ...................................................................................................................... 16
PARAGRAPHE 1 : PROTECTION ASSUREE PAR LES TEXTES NATIONAUX ................................................................................ 18
I- APERÇU DU CADRE JURIDIQUE NATIONAL .................................................................................................................... 18
II- L’ADHESION À DES INSTRUMENTS INTERNATIONAUX DE PROTECTION DES DONNEES PERSONNELLES ................ 20
PARAGRAPHE 2 : PROTECTION COMPLETEE PAR LES ACTEURS INSTITUTIONNELS .............................................................. 21
I- LA COMMISSION NATIONALE POUR LE CONTROLE DE LA PROTECTION DES DONNEES PERSONNELLES (CNDP) 21
II- LA DIRECTION GENERALE DE LA SURETE NATIONALE ET LA DIRECTION GENERALE DE LA SECURITE DES
SYSTEMES D’INFORMATION ....................................................................................................................................................... 23
PARAGRAPHE 3 : DEFIS SUR LE PLAN JURIDIQUE ET INSTITUTIONNEL ................................................................................ 25
I- DEFIS SUR LE PLAN JURIDIQUE ........................................................................................................................................ 25
II- DEFIS SUR LE PLAN INSTITUTIONNEL ............................................................................................................................. 27
SECTION II : PROTECTION JURIDIQUE A L’ECHELLE INTERNATIONALE (LE DROIT COMPARE ) .............. 28
PARAGRAPHE 1 : LES DONNEES PERSONNELLES DANS LE DROIT COMPARE ........................................................................ 28
I- LE MODELE FRANÇAIS ...................................................................................................................................................... 28
II- LE MODELE CANADIEN ..................................................................................................................................................... 31
III- LE MODELE ALLEMAND .................................................................................................................................................... 35
PARAGRAPHE 2 : LES DIRECTIVES EUROPEENNES ET RECOMMANDATIONS COMMUNAUTAIRES ....................................... 38
I- LES REGLEMENTS DE L ’UNION EUROPEENNE ................................................................................................................. 39
II- LES DIRECTIVES EUROPEENNES ....................................................................................................................................... 41
III- LES DEFIS INHERENTS A LA MISE EN APPLICATION DU RGPD .................................................................................... 44
 CHAPITRE II : LE TRAITEMENT DES DONNEES PERSONNELLES .......................................................... 47
SECTION I : LA REGLEMENTATION DES TRAITEMENTS, VERS UNE SIMPLIFICATION NECESSAIRE
48
PARAGRAPHE 1 : LES PRINCIPES DU TRAITEMENT .................................................................................................................. 49
I- PRINCIPE DE COLLECTE LOYALE ...................................................................................................................................... 49
II- OBLIGATION DE TRANSPARENCE ................................................................................................................................... 51
99
III- LICEITE DU TRAITEMENT ................................................................................................................................................. 52

PARAGRAPHE 2 : UNE ADAPTATION A DE NOUVEAUX DEFIS ................................................................................................ 54
I- LE PRIVACY BY DESIGN .................................................................................................................................................... 54
II- LE PRIVACY BY DEFAULT .................................................................................................................................................. 55
III- ACCOUNTABILITY ............................................................................................................................................................. 55
SECTION II : CONFIDENTIALITE ET SECURITE DES TRAITEMENTS............................................................... 57
PARAGRAPHE 1 : LES CONDITIONS REQUISES POUR LA QUALITE DU RESPONSABLE DU TRAITEMENT ............................. 57
I- L’ASPECT PERSONNEL ...................................................................................................................................................... 58
II- LA POSSIBILITE D’UNE PERSONNE PLURALISTE ............................................................................................................. 60
III- LES ELEMENTS ESSENTIELS QUI PERMETTENT DE DISTINGUER LE RESPONSABLE DU TRAITEMENT DES AUTRES
ACTEURS ....................................................................................................................................................................................... 62
PARAGRAPHE 2 : LES OBLIGATIONS DES RESPONSABLES DE TRAITEMENT ......................................................................... 66
I- LES OBLIGATIONS DU « RESPONSABLE DU TRAITEMENT » .......................................................................................... 66
II- LA RESPONSABILITE DU SOUS-TRAITANT. ..................................................................................................................... 71
III- LES SANCTIONS (LE LEGISLATEUR MAROCAIN) ............................................................................................................ 74
CONCLUSION ............................................................................................................................................................................... 76
BIBLIOGRAPHIE..................................................................................................................................................................... 78
ANNEXE ..................................................................................................................................................................................... 80
TABLE DES MATIERES ......................................................................................................................................................... 99
100

L'utilisation Des Données Personnelles Dans Le Droit Comparé

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

L'utilisation Des Données Personnelles Dans Le Droit Comparé

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire pour l’Obtention du Diplôme de Master Droit Du Numérique

L’UTILISATION DES DONNEES

Présenté par : Amine HAOUNANI Encadré par : Dr. AKKOUR Soumaya

Mémoire présenté le 05 /11/2019, Devant un jury composé de :

Pr. AKKOUR SOUMAYA ..........................Professeure à la FSJES- Settat..............Présidente

Année universitaire 2018 / 2019

L’UTILISATION DES DONNEES

TABLEAU DES ABREVIATIONS

ONU Organisation des nations unies

Ces dernières années, le respect de la vie privée s’est vu de plus en plus

La présente contribution vise à déterminer si bénéficier d’une protection

Notre travail se scindera en deux grands chapitres, en premier lieu, les

 CHAPITRE I : LA PROTECTION JURIDIQUE DES DONNEES A

 SECTION I : LE DISPOSITIF MAROCAIN

Paragraphe 1 : Protection assurée par les textes nationaux

 SECTION II : PROTECTION JURIDIQUE A L’ECHELLE

Paragraphe 1 : Les données personnelles dans le droit comparé

 CHAPITRE II : LE TRAITEMENT DES DONNEES PERSONNELLES

 SECTION I : LA REGLEMENTATION DES TRAITEMENTS, VERS UNE

Paragraphe 1 : Les principes du traitement

 SECTION II : CONFIDENTIALITE ET SECURITE DES TRAITEMENTS

Paragraphe 1 : Les conditions requises pour la qualité du responsable du traitement

On constate ainsi que les textes glissent de la notion d’informations nominatives à

autorités prévoient, peut-être avec un certain optimisme, l’adoption de ce texte au début

Deuxièmement, l’adoption de l’expression de « données à caractère personnel »

entre les “informations nominatives” au sens de la loi du 6 janvier 1978 et les

Au sens de ce texte, « est nominatif tout document portant une appréciation ou un

La confusion entre « informations nominatives » au sens de la loi informatique et

Le terme plus large de « personnel » à celui de « nominatif », l’expression de «

Corrélativement, le terme « donnée » renvoie à l’idée de traitement de masse des

La comparaison avec l’acception de la notion d’informations nominatives retenue

Partant de ce constat, il serait légitime alors de s’interroger sur les dispositifs

Pour traiter cette problématique, on a adopté une méthodologie de recherche comparée,

 CHAPITRE I : LA PROTECTION JURIDIQUE DES DONNEES A

Pour bénéficier d’une protection juridique, il faut respecter les principes de

 Droit d’accès, de modification et d’opposition :

 Qualité des données :

 Sécurité des données :

 Limitation de la durée de conservation :

 Protection des données « sensibles » :

SECTION I : LE DISPOSITIF MAROCAIN

Un dispositif protecteur mais décalé par rapport à l’évolution des normes

La généralisation de l’informatique et de l’internet, ainsi que le développement rapide

En effet, la rapidité, la commodité et l’anonymat de la toile sont souvent exploités à des

- Instauré la Direction générale de la sécurité des systèmes d’information (DGSSI)34

- Ratifié la Convention 108 du Conseil de l’Europe et son protocole additionnel35.

Plusieurs évènements ont été organisés au Maroc pour but :

- Analyser le champ d’application de la loi 09- 08 relative à la protection des personnes

- Déterminer les interactions entre les acteurs du secteur de sécurité et la gestion et

- Identifier les implications de l’adhésion du Maroc à la Convention 108 du Conseil de

Une cinquantaine de participants marocains et internationaux ont pris part aux

Depuis le début du XXIème siècle, le Maroc témoigne de sa volonté de respecter et

Paragraphe 1 : Protection assurée par les textes nationaux

I- Aperçu du cadre juridique national

 L’article 24 de la Constitution de 2011 consacrant le droit à la protection de la

La réforme constitutionnelle de juillet 2011 a réaffirmé l’attachement du Maroc à la

Par ailleurs, en consacrant la primauté des conventions internationales ratifiées, la

 La loi 09-08 sur la protection des données personnelles 39

- les sanctions en cas de violation de la loi 09-08.

 Le Dahir relatif à l’échange des données électroniques 41.

 La stratégie nationale pour la société́ de l’information, dite « Maroc numérique

II- L’adhésion à des instruments internationaux de protection des

La nécessité de réglementer la protection des données à caractère personnel a été dictée