L'article 23 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), définit les conditions dans lesquelles le droit de l'Union ou le droit d'un État membre peut limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34 du RGPD. Il établit ainsi le cadre juridique des restrictions admissibles aux droits des personnes concernées.
Cette disposition reconnaît qu'il existe des situations dans lesquelles l'exercice intégral des droits garantis par le RGPD peut entrer en conflit avec d'autres intérêts légitimes d'importance comparable, notamment la sécurité nationale, la défense, la sécurité publique, la prévention et la détection d'infractions pénales, ou d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre.
L'article 23 s'inscrit dans le respect de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, qui autorise les limitations aux droits et libertés, à condition qu'elles soient prévues par la loi, qu'elles respectent le contenu essentiel desdits droits et libertés, et que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d'intérêt général.
Texte officiel de l'article 23 du RGPD
L'article 23 du RGPD dispose :
1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
a) la sécurité nationale ;
b) la défense ;
c) la sécurité publique ;
d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;
f) la protection de l'indépendance de la justice et des procédures judiciaires ;
g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière ;
h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) à e) et g) ;
i) la protection de la personne concernée ou des droits et libertés d'autrui ;
j) l'exécution des demandes de droit civil.
2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant :
a) aux finalités du traitement ou des catégories de traitement ;
b) aux catégories de données à caractère personnel ;
c) à l'étendue des limitations introduites ;
d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites ;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement ;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;
g) aux risques pour les droits et libertés des personnes concernées ; et
h) au droit des personnes concernées d'être informées de la limitation, sauf si cela risque de nuire à la finalité de la limitation.
Ce texte établit ainsi un cadre juridique rigoureux encadrant toute restriction aux droits fondamentaux des personnes concernées, en imposant des garanties substantielles et procédurales.
Les objectifs légitimant une limitation
L'article 23, paragraphe 1, dresse une liste exhaustive des objectifs pouvant justifier une limitation des droits des personnes concernées. Cette liste reflète un équilibre entre la protection des données personnelles et d'autres intérêts fondamentaux reconnus dans une société démocratique.
Parmi les objectifs les plus fréquemment invoqués figurent la sécurité nationale et la défense (points a et b), la sécurité publique et la prévention des infractions pénales (points c et d), ainsi que les objectifs d'intérêt public général, notamment dans les domaines économique, financier, fiscal, de la santé publique et de la sécurité sociale (point e).
La jurisprudence de la Cour de justice de l'Union européenne souligne que ces objectifs doivent être interprétés restrictivement et que toute limitation doit être strictement nécessaire et proportionnée à l'objectif poursuivi. L'invocation d'un objectif légitime ne suffit pas à justifier une restriction : celle-ci doit également être concrètement nécessaire et appropriée.
Les conditions de légalité d'une limitation
Toute limitation prévue à l'article 23 doit être établie par une mesure législative, c'est-à-dire par un acte de nature législative au sens du droit de l'Union ou du droit national, garantissant un niveau suffisant de sécurité juridique et de contrôle démocratique. Les actes purement réglementaires ou administratifs ne peuvent, en principe, constituer une base juridique suffisante.
La limitation doit respecter l'essence des libertés et droits fondamentaux. Cela signifie qu'elle ne peut vider de leur substance les droits garantis par le RGPD ni porter atteinte au noyau dur du droit à la protection des données personnelles consacré par l'article 8 de la Charte des droits fondamentaux de l'Union européenne.
En outre, conformément au principe de proportionnalité, la mesure doit être nécessaire dans une société démocratique, c'est-à-dire qu'elle doit répondre à un besoin social impérieux, qu'elle doit être appropriée pour atteindre l'objectif légitime poursuivi, et qu'elle ne doit pas aller au-delà de ce qui est strictement nécessaire pour y parvenir.
Les garanties obligatoires prévues au paragraphe 2
L'article 23, paragraphe 2, impose que toute mesure législative limitant les droits des personnes concernées contienne des garanties spécifiques. Ces garanties visent à encadrer strictement les limitations et à prévenir les abus.
Parmi ces garanties figurent la détermination précise des finalités du traitement, des catégories de données concernées, de l'étendue des limitations introduites, ainsi que des garanties destinées à prévenir les abus ou l'accès ou le transfert illicites. La mesure doit également préciser les durées de conservation et les garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement.
L'une des garanties essentielles réside dans le droit des personnes concernées d'être informées de la limitation, sauf si une telle information risque de nuire à la finalité de la limitation (par exemple, dans le cadre d'une enquête pénale en cours). Cette exigence de transparence constitue un élément fondamental du respect des droits de la défense et de l'État de droit.
Exemples de limitations en droit français
En France, plusieurs dispositions législatives mettent en œuvre l'article 23 du RGPD. La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018, prévoit des limitations aux droits des personnes concernées dans certains domaines, notamment en matière de sécurité de l'État, de défense, de sécurité publique, ou de prévention et de détection des infractions pénales.
Par exemple, l'article 87 de la loi Informatique et Libertés permet de limiter l'exercice des droits d'accès, de rectification et d'effacement pour les traitements mis en œuvre par les services de renseignement, dès lors que cette limitation est nécessaire à l'accomplissement de leurs missions.
De même, certaines dispositions du Code de procédure pénale ou du Code de la sécurité intérieure prévoient des limitations aux droits des personnes concernées lorsque l'exercice de ces droits risque de faire obstacle à des enquêtes en cours ou de compromettre la sécurité publique.
Contrôle de conformité et recours
Les mesures législatives prises en application de l'article 23 doivent respecter le principe de légalité et être conformes au droit de l'Union européenne, en particulier à la Charte des droits fondamentaux. Elles peuvent faire l'objet d'un contrôle de constitutionnalité par les juridictions nationales et d'un renvoi préjudiciel devant la Cour de justice de l'Union européenne en cas de doute sur leur conformité au droit de l'Union.
La Cour européenne des droits de l'homme et la Cour de justice de l'Union européenne ont développé une jurisprudence exigeante en matière de limitations aux droits fondamentaux, rappelant que toute restriction doit être strictement justifiée, proportionnée et entourée de garanties suffisantes pour prévenir les abus.
Les personnes concernées conservent, en principe, un droit de recours effectif devant les autorités de contrôle et les juridictions compétentes pour contester les limitations apportées à leurs droits, sauf dans les cas où un tel recours risquerait de compromettre l'objectif légitime poursuivi par la limitation.
Recommandations de la CNIL et du CEPD
La Commission nationale de l'informatique et des libertés (CNIL) rappelle que les limitations prévues à l'article 23 doivent être interprétées de manière stricte et qu'elles ne peuvent être invoquées de manière générale et indifférenciée. Chaque limitation doit être justifiée au cas par cas, en fonction de la nature du traitement et de l'objectif poursuivi.
Le Comité européen de la protection des données (CEPD) souligne que les États membres doivent veiller à ce que les mesures législatives prises en application de l'article 23 respectent pleinement les exigences du paragraphe 2 et qu'elles prévoient des garanties suffisantes pour prévenir les abus. Il recommande également que les autorités de contrôle soient consultées lors de l'élaboration de telles mesures, afin de garantir leur conformité au RGPD et à la Charte des droits fondamentaux.
L'article 23 du RGPD établit un cadre juridique rigoureux pour les limitations aux droits des personnes concernées, en reconnaissant qu'il existe des situations dans lesquelles d'autres intérêts légitimes d'importance comparable peuvent justifier des restrictions temporaires ou sectorielles à l'exercice de ces droits.
Toutefois, ces limitations ne peuvent être admises que si elles sont prévues par une mesure législative, si elles respectent l'essence des libertés et droits fondamentaux, si elles sont nécessaires et proportionnées dans une société démocratique, et si elles sont entourées de garanties suffisantes pour prévenir les abus. Pour les organisations, il est essentiel de bien identifier les cas dans lesquels une limitation peut être légitimement invoquée et de s'assurer que les mesures prises respectent scrupuleusement les conditions et garanties prévues par l'article 23.