Article 23 – Limitations
Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:
a) la sécurité nationale;b) la défense nationale;
c) la sécurité publique;
d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
f) la protection de l’indépendance de la justice et des procédures judiciaires;
g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
i) la protection de la personne concernée ou des droits et libertés d’autrui;
j) l’exécution des demandes de droit civil.
En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:
a) aux finalités du traitement ou des catégories de traitement;b) aux catégories de données à caractère personnel;
c) à l’étendue des limitations introduites;
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;
g) aux risques pour les droits et libertés des personnes concernées; et
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.
Le viel adage « faites ce que je dis, mais ne fait pas ce que je fais », peux tout à fait résumer cet article.
L’article 23, permet donc aux États membres d’amplifier les limitations qui sont déjà sous-jacentes dans différents articles du RGPD.
Le problème de cet article c’est qu’il laisse le champ libre aux états pour légiférer comme bon leur semble. En effet, vous rêviez d’une europe unie, ou la même règle allait s’appliquer à tous, et bien non encore une fois il va falloir composer avec chaque pays.
Voyons les choses du bon coté. Cela nous donne du travail à nous avocats et experts.