Le RGPD s’applique à toute activité traitant des données personnelles… sauf dans 5 cas bien précis ! Découvrez ces dérogations matérielles prévues par le droit européen, à connaître absolument pour vérifier si vous entrez (ou non) dans le champ d’application du Règlement.
1) Qu’est-ce qu’une dérogation matérielle au RGPD ?
Le champ d’application matériel du RGPD sert à déterminer dans quels cas le Règlement s’applique, selon le type de traitement de données personnelles réalisé. En principe, le RGPD s’applique très largement. Toutefois, il existe cinq exceptions, appelées « dérogations matérielles », qui permettent d’exclure certains traitements du champ du Règlement.
Parmi ces cinq dérogations, trois sont dites totales : elles excluent complètement le traitement du champ d’application du RGPD. Les deux autres sont partielles : le traitement est en partie encadré par d’autres règles.
Ces dérogations sont définies à l’article 2 du RGPD. Elles ont été prévues pour protéger certains domaines sensibles ou strictement personnels, tout en maintenant un haut niveau de protection des données dans les autres situations. Ces exceptions sont interprétées de manière stricte. Cela signifie que seules les situations précisément prévues peuvent en bénéficier.
2) Trois exception totales : quand le RGPD ne s’applique pas du tout
- Les traitements à usage strictement personnel ou domestique
Le RGPD ne s’applique pas si vous utilisez des données uniquement dans un cadre strictement privé. Par exemple, un carnet d’adresses familial, un album photo stocké chez vous ou un blog privé accessible uniquement à votre entourage proche ne sont pas concernés par le RGPD.
Mais attention : dès que ces données sont partagées en dehors du cercle privé (par exemple sur un réseau social public), le RGPD redevient applicable.
- Les traitements liés à la politique étrangère et de sécurité commune de l’Union européenne
Certains traitements réalisés par les États membres dans le cadre de la politique étrangère ou de la sécurité commune de l’Union européenne (PESC) sont totalement exclus du RGPD. Il s’agit par exemple d’activités diplomatiques ou de coopération militaire menées dans ce contexte précis.
- Les traitements portant sur des données anonymes ou anonymisées
Lorsque les données ont été anonymisées de manière définitive, et qu’il n’est plus possible d’identifier directement ou indirectement une personne, le RGPD ne s’applique pas. Cela suppose une anonymisation irréversible, qui ne permet pas de faire le lien avec une personne, même avec des informations croisées.
Il ne faut pas confondre anonymisation et pseudonymisation. Une donnée pseudonymisée reste une donnée personnelle, car elle peut être réidentifiée. Elle est donc toujours couverte par le RGPD.
3) Deux dérogations partielles : le RGPD s’efface partiellement (mais pas totalement)
- Les traitements hors du champ du droit de l’Union européenne
Certains traitements sont réalisés uniquement dans le cadre du droit national, par exemple pour des raisons de défense, de sûreté de l’État ou de sécurité intérieure. Ces traitements ne relèvent pas du RGPD, mais sont encadrés par d’autres lois nationales, comme la loi Informatique et Libertés en France.
Même si le RGPD ne s’applique pas directement, les personnes concernées peuvent souvent bénéficier de droits similaires grâce à ces législations parallèles.
- Les copies techniques temporaires à des fins de transmission
Cette dérogation vise des copies créées automatiquement lors de la transmission de données sur Internet. Par exemple, les caches techniques ou copies temporaires générées par des serveurs pour faciliter la diffusion d’un contenu.
Ces copies doivent remplir trois conditions pour être exclues du champ du RGPD :
-
-
être automatiques,
-
être provisoires (elles doivent disparaître rapidement),
-
et être nécessaires à la transmission technique de l’information.
-
Si l’une de ces conditions manque, le traitement peut redevenir soumis au RGPD.
4) Pourquoi ces dérogations sont rares (et risquées à invoquer)
Même si ces dérogations existent, elles sont rarement applicables dans la pratique. Les institutions européennes, comme la Cour de justice de l’Union européenne (CJUE), insistent sur une interprétation stricte de ces exceptions. Cela signifie qu’il faut les utiliser avec prudence et ne pas chercher à les étendre.
Une activité qui semble banale ou non professionnelle peut tout de même être soumise au RGPD si :
-
-
les données permettent d’identifier une personne,
-
ou si l’usage dépasse le cadre strictement personnel
-
- Exemples concrets issus de la jurisprudence :
-
-
Un curateur professionnel, même s’il agit au nom d’un proche, n’est pas couvert par l’exemption domestique car son intervention a lieu dans un cadre professionnel.
-
Des données de santé rendues pseudonymes restent considérées comme des données à caractère personnel. Elles sont donc toujours protégées par le RGPD.
-
Ces exemples montrent que le RGPD reste la règle. Les dérogations sont l’exception, et elles doivent être utilisées uniquement si les conditions sont clairement remplies.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
