Le droit limitation traitement RGPD, prévu à l’Art. 18, est le moins connu des droits des personnes concernées — et pourtant l’un des plus utiles en pratique. Il permet d’obtenir un « gel » des données : celles-ci restent stockées mais ne peuvent plus être utilisées, sauf exceptions limitées. Ce mécanisme intermédiaire entre la poursuite du traitement et l’effacement s’avère indispensable dans les situations de contestation ou de litige.
Points Clés
- L’Art. 18(1) RGPD prévoit quatre cas ouvrant droit à la limitation : contestation de l’exactitude, traitement illicite avec opposition à l’effacement, données nécessaires à un litige, et vérification des motifs légitimes après opposition.
- Pendant la limitation, les données ne peuvent être traitées que pour la conservation, avec le consentement de la personne, pour des droits en justice, pour la protection des droits d’autrui, ou pour un intérêt public important (Art. 18(2) RGPD).
- L’Art. 19 RGPD impose de notifier la limitation à chaque destinataire des données.
- Avant de lever la limitation, le responsable doit informer la personne (Art. 18(3) RGPD).
- La limitation est techniquement distincte de l’effacement : les données sont conservées mais « gelées », ce qui exige des mécanismes techniques adaptés.
Les quatre cas de limitation : Art. 18(1)
L’Art. 18(1) RGPD énumère quatre situations dans lesquelles la personne peut exiger la limitation du traitement :
Cas 1 : Contestation de l’exactitude (Art. 18(1)(a)) — La personne conteste l’exactitude de ses données personnelles. La limitation s’applique pendant une durée permettant au responsable de vérifier l’exactitude des données. Ce cas est directement lié au droit de rectification (Art. 16 RGPD) : lorsqu’une personne conteste l’exactitude sans que le responsable puisse trancher immédiatement, la limitation offre un mécanisme de protection temporaire.
Cas 2 : Traitement illicite, opposition à l’effacement (Art. 18(1)(b)) — Le traitement est illicite et la personne s’oppose à l’effacement des données, préférant la limitation de leur utilisation. Ce cas vise la situation où la personne reconnaît l’illicéité du traitement mais souhaite conserver les données pour ses propres besoins (preuve dans un litige, par exemple).
Cas 3 : Données nécessaires à un litige (Art. 18(1)©) — Le responsable de traitement n’a plus besoin des données pour les finalités du traitement, mais la personne en a besoin pour la constatation, l’exercice ou la défense de droits en justice. Ce cas empêche le responsable d’effacer des données dont la personne a besoin comme preuves.
Cas 4 : Vérification après opposition (Art. 18(1)(d)) — La personne a exercé son droit d’opposition conformément à l’Art. 21(1) RGPD. La limitation s’applique pendant la vérification visant à déterminer si les motifs légitimes du responsable prévalent sur ceux de la personne. Ce cas assure une protection temporaire pendant l’analyse de l’opposition.
Différence entre limitation et effacement
La confusion entre limitation et effacement est fréquente. Les deux mécanismes répondent à des besoins distincts :
| Critère | Limitation (Art. 18) | Effacement (Art. 17) |
|---|---|---|
| Effet sur les données | Conservation sans utilisation | Suppression définitive |
| Réversibilité | Oui, la limitation peut être levée | Non, l’effacement est irréversible |
| Cas d’utilisation | Situation transitoire, vérification en cours | Données devenues inutiles ou illicites |
| Utilisation résiduelle | Stockage + exceptions Art. 18(2) | Aucune |
Le choix entre limitation et effacement dépend du contexte : la limitation est adaptée aux situations temporaires ou contestées, tandis que l’effacement est la réponse aux situations définitives.
Effets de la limitation : Art. 18(2)
Pendant la période de limitation, l’Art. 18(2) RGPD restreint drastiquement les opérations autorisées sur les données. Seules quatre exceptions permettent un traitement :
Conservation : les données peuvent être stockées. C’est le seul traitement autorisé de droit.
Consentement de la personne : la personne peut consentir à un traitement spécifique malgré la limitation.
Droits en justice : les données peuvent être traitées pour la constatation, l’exercice ou la défense de droits en justice.
Protection des droits d’autrui ou intérêt public important : le traitement est autorisé pour la protection des droits d’une autre personne physique ou morale, ou pour un motif d’intérêt public important de l’Union ou d’un État membre.
En dehors de ces quatre exceptions, tout traitement des données limitées constitue une violation du RGPD. Cela inclut la consultation, la modification, la communication à des tiers et l’utilisation à des fins analytiques.
Mise en oeuvre technique de la limitation
Le CEPD (lignes directrices WP242 rév.01) et la CNIL recommandent plusieurs approches techniques :
Marquage des données : ajouter un attribut technique (flag, champ de statut) aux données limitées. Ce marquage doit être vérifié par tous les systèmes et processus accédant aux données. C’est la méthode la plus répandue dans les bases de données relationnelles.
Déplacement dans un espace séparé : transférer les données dans une zone de stockage isolée, accessible uniquement aux administrateurs autorisés. Cette approche réduit le risque de traitement accidentel.
Restriction d’accès : modifier les droits d’accès pour que seuls les utilisateurs habilités (typiquement le DPO et les administrateurs) puissent accéder aux données limitées.
Retrait temporaire de publication : pour les données publiées en ligne, la limitation peut impliquer le retrait temporaire du contenu (considérant 67 du RGPD).
L’essentiel est que le système empêche effectivement tout traitement non autorisé pendant la durée de la limitation. Un simple marquage sans contrôle d’accès effectif ne suffit pas.
Journalisation : chaque accès ou tentative d’accès aux données limitées doit être journalisé. Cette journalisation permet de démontrer, en cas de contrôle, que la limitation a été effectivement respectée et que les données n’ont pas fait l’objet de traitements non autorisés pendant la période de gel. Le registre des traitements doit mentionner l’existence de données soumises à limitation et les mesures techniques mises en place.
Notification obligatoire : Art. 19
Comme pour la rectification et l’effacement, l’Art. 19 RGPD impose au responsable de traitement de notifier la limitation à chaque destinataire auquel les données ont été communiquées, sauf si cela s’avère impossible ou exige des efforts disproportionnés.
Cette notification a une implication pratique directe : les destinataires (sous-traitants, partenaires, organismes publics) doivent eux aussi mettre en oeuvre la limitation dans leurs propres systèmes. Le contrat de sous-traitance (Art. 28(3) RGPD) doit prévoir les modalités de gestion des limitations transmises par le responsable de traitement.
De plus, l’Art. 18(3) RGPD impose au responsable d’informer la personne avant la levée de la limitation. Cette obligation garantit que la personne peut réagir avant que ses données ne soient à nouveau traitées normalement.
Sanctions en cas de non-respect
Le non-respect du droit de limitation relève de l’Art. 83(5)(b) RGPD : amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
CNIL vs CRITEO (Délibération n°SAN-2023-009, 15 juin 2023) : 40 millions d’euros. Si la sanction visait principalement le défaut de consentement et le défaut de base légale, la CNIL a également relevé des manquements dans la gestion des demandes d’exercice de droits, y compris la limitation du traitement.
AEPD vs Vodafone España (PS/00059/2021, 2021) : 3,94 millions d’euros. L’autorité espagnole a sanctionné le traitement de données de clients ayant exercé leur droit d’opposition et de limitation, alors que ces données auraient dû être gelées.
FAQ
La limitation empêche-t-elle toute utilisation des données ?
Non, pas totalement. L’Art. 18(2) RGPD autorise quatre exceptions : la conservation pure, le traitement avec consentement de la personne, le traitement pour des droits en justice et le traitement pour la protection des droits d’autrui ou un intérêt public important. En dehors de ces cas, tout traitement est interdit.
Combien de temps dure la limitation ?
La durée dépend du motif. Pour la contestation d’exactitude (Art. 18(1)(a)), elle dure le temps de la vérification. Pour la vérification après opposition (Art. 18(1)(d)), elle dure le temps de l’analyse des motifs légitimes. Pour le besoin en justice (Art. 18(1)©), elle dure aussi longtemps que la personne en a besoin. Il n’existe pas de durée maximale fixe.
Comment informer la personne de la levée de la limitation ?
L’Art. 18(3) RGPD impose d’informer la personne avant de lever la limitation. La CNIL recommande un préavis raisonnable (au minimum quelques jours) pour permettre à la personne de réagir, par exemple en exerçant un autre droit (effacement, opposition). Cette notification doit être faite par écrit.
La limitation s’applique-t-elle aux sauvegardes ?
Oui. Les sauvegardes contenant des données limitées doivent être traitées en conséquence. En pratique, le marquage des données dans les systèmes actifs doit être préservé lors des restaurations. Si des données limitées sont restaurées depuis une sauvegarde, la limitation doit être immédiatement réappliquée.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope