Article 23 RGPD : les limitations aux droits décryptées

L’article 23 du RGPD est l’angle mort de la plupart des programmes de conformité. C’est pourtant l’article qui autorise un responsable de traitement à refuser une demande d’accès, à ne pas notifier une violation à la personne concernée, à différer une information préalable, ou à conserver des données au-delà des durées « ordinaires » — à condition qu’une mesure législative nationale ou européenne le prévoie expressément. Dans ma pratique, je vois deux erreurs miroirs : des entreprises qui ignorent l’Art. 23 et se sentent contraintes de répondre à tout (au mépris de la loi anti-blanchiment, du secret de l’instruction, du secret professionnel) ; et des entreprises qui invoquent l’Art. 23 à tort, sans base légale solide, et s’exposent à des sanctions CNIL sévères. Voici l’analyse paragraphe par paragraphe de l’article, la jurisprudence CJUE structurante et un plan opérationnel pour 2026.

Ce que dit l’article 23 du RGPD

L’Art. 23 RGPD s’intitule « Limitations ». Il appartient au chapitre III (« Droits de la personne concernée »), section 5, et clôt l’architecture des droits ouverte par l’Art. 12 RGPD et déclinée aux Art. 13, Art. 14, Art. 15-21 et Art. 34. Il opère comme une soupape : la protection des données n’est pas un droit absolu, elle peut céder devant d’autres intérêts légitimes — sécurité nationale, justice pénale, fiscalité, lutte contre le blanchiment — sous des conditions très strictes.

L’article comporte deux paragraphes que je commenterai successivement.

« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir […] ».

L’EDPB a précisé l’application de cet article dans ses Lignes directrices 10/2020 sur les restrictions au titre de l’article 23 du RGPD (version 2.0 adoptée le 13 octobre 2021). Ces lignes directrices imposent un standard d’examen exigeant — j’y reviens — qui rejoint la jurisprudence CJUE sur la proportionnalité au sens de l’article 52(1) de la Charte des droits fondamentaux de l’Union européenne.

Article 23(1) : les conditions cumulatives de la limitation

Le premier paragraphe pose un mécanisme à trois étages : un véhicule juridique (la mesure législative), un test de qualité (essence, nécessité, proportionnalité dans une société démocratique), et une liste limitative d’objectifs poursuivis (points a à j). Chacun mérite un commentaire séparé.

Le véhicule juridique : « par la voie de mesures législatives »

L’Art. 23(1) impose que la limitation soit prévue par une mesure législative — un acte du droit de l’Union ou d’un État membre. Une simple décision administrative, une circulaire ministérielle, un guide professionnel, une délibération CNIL, une instruction interne ne suffisent pas. La CJUE a confirmé ce standard dans l’arrêt C-511/18 La Quadrature du Net du 6 octobre 2020 : toute ingérence dans les droits garantis par les articles 7, 8 et 11 de la Charte doit reposer sur une base légale claire, prévisible et accessible.

En droit français, la base légale pertinente est presque toujours la loi n° 78-17 du 6 janvier 1978 dite Informatique et Libertés (LIL), notamment ses articles 23 (transposition de l’Art. 23 RGPD), 116 (restrictions à l’information), 117 (restrictions au droit d’accès) et 118 (modalités). S’y ajoutent les régimes sectoriels : Code monétaire et financier (LCB-FT, Art. L. 561-45-1 et suivants), Code général des impôts (droit de communication fiscal), Code de procédure pénale (fichiers de police et de justice), Code de la santé publique (recherche, hébergement de données de santé), Loi de programmation militaire pour les questions de défense.

Une lecture combinée s’impose : un responsable ne peut invoquer l’Art. 23 qu’en visant précisément le texte législatif qui fonde la limitation. Une invocation générique de « la loi française » est insuffisante et s’expose à requalification.

Le test de qualité : « essence, nécessité, proportionnalité »

L’Art. 23(1) reprend mot pour mot la grammaire de l’article 52(1) de la Charte. Trois conditions cumulatives doivent être satisfaites.

Respect de l’essence des droits. Une limitation ne peut jamais vider le droit de sa substance. Dans l’arrêt CJUE C-362/14 Schrems I du 6 octobre 2015, la Cour a censuré le Safe Harbor américain au motif qu’un accès généralisé des autorités de renseignement aux données personnelles porte atteinte à l’essence du droit fondamental au respect de la vie privée. Cette logique a été confirmée dans CJUE C-311/18 Schrems II du 16 juillet 2020 et reste le standard de référence.

Nécessité. La limitation doit être strictement nécessaire à l’objectif poursuivi. La CJUE applique un test de stricte nécessité particulièrement exigeant en matière de surveillance. Dans C-623/17 Privacy International du 6 octobre 2020, la Cour a jugé qu’une collecte massive et indifférenciée des données de communication ne satisfait pas le critère de nécessité, sauf circonstance exceptionnelle (menace grave et actuelle pour la sécurité nationale).

Proportionnalité dans une société démocratique. L’avantage tiré de la limitation doit être proportionné à l’atteinte portée aux droits fondamentaux. Le standard est emprunté à la Convention européenne des droits de l’homme. La CJUE l’a appliqué de manière constante depuis l’arrêt C-293/12 Digital Rights Ireland du 8 avril 2014 sur la conservation des données de communication.

L’EDPB précise dans ses Lignes directrices 10/2020 que les trois conditions doivent être démontrées par le législateur lui-même au moment de l’adoption de la mesure, et par le responsable de traitement au moment de l’application au cas individuel. Une mesure législative valide ne dispense pas d’un examen de proportionnalité in concreto.

Les dix objectifs limitativement énumérés (a à j)

L’Art. 23(1) liste dix objectifs susceptibles de justifier une limitation. Cette liste est limitative : aucun autre objectif ne peut être invoqué. Je les regroupe par familles.

Sécurité régalienne (a, b, c, d). Sécurité nationale, défense nationale, sécurité publique, prévention et poursuite d’infractions pénales. Ce sont les justifications les plus fréquentes en droit français : fichiers de police (TAJ, FNAEG, FIJAIS), antiterrorisme, renseignement (Art. L. 851-1 et suivants du Code de la sécurité intérieure), data retention sous Loi Renseignement.

Intérêts publics économiques et financiers (e). Domaines monétaire, budgétaire, fiscal, santé publique, sécurité sociale. C’est le fondement de la non-application des droits d’accès et d’opposition aux fichiers fiscaux pendant les contrôles, du secret bancaire face aux autorités prudentielles, et des dérogations LCB-FT (Art. L. 561-45-1 CMF qui interdit au déclarant Tracfin d’informer son client).

Indépendance de la justice (f). Secret des délibérés, secret de l’instruction, indépendance des juridictions. C’est ce qui justifie que les parties à une procédure ne puissent pas exercer leur droit d’accès dans les conditions ordinaires sur les pièces du dossier.

Déontologie des professions réglementées (g). Ordres professionnels (avocats, médecins, experts-comptables). La Chambre régionale de discipline peut traiter des données sans information préalable de la personne mise en cause si cela compromet l’enquête déontologique.

Mission de contrôle et d’inspection (h). Inspecteurs du travail, agents de la DGCCRF, ACPR, AMF, ARCEP, CRE — autorités de régulation et de contrôle dont l’efficacité repose en partie sur un effet de surprise.

Protection de la personne concernée ou d’autrui (i). Cette base est subtile. Elle permet par exemple de différer l’information d’une personne susceptible de se mettre en danger ou de mettre autrui en danger si elle apprenait l’existence du traitement (suivi d’une victime de violences conjugales, signalement de maltraitance).

Exécution des demandes de droit civil (j). Discovery, saisies civiles, mesures conservatoires. C’est notamment la base mobilisée en pratique pour répondre aux injonctions d’huissier ou de juge dans les contentieux commerciaux, sans informer préalablement la personne dont les données sont communiquées.

Le champ matériel : quels droits peuvent être limités

L’Art. 23(1) précise que peuvent être limités :

• les obligations et droits prévus aux Art. 12 à 22 : transparence (Art. 12), information (Art. 13 et Art. 14), accès (Art. 15), rectification (Art. 16), effacement (Art. 17), limitation (Art. 18), notification (Art. 19), portabilité (Art. 20), opposition (Art. 21) et décisions automatisées (Art. 22) ;
• l’obligation de communication des violations à la personne concernée prévue à l’Art. 34 RGPD ;
• les principes de l’Art. 5 RGPD uniquement dans la mesure où les dispositions législatives correspondent aux droits et obligations des Art. 12 à 22.

Cette limitation du champ est essentielle. Ne peuvent pas être limités au titre de l’Art. 23 : la licéité du traitement (Art. 6), le régime des données sensibles (Art. 9 — sauf via les dérogations propres à l’Art. 9(2)), l’obligation de sécurité (Art. 32), la notification à la CNIL d’une violation (Art. 33), la tenue du registre (Art. 30 RGPD), la désignation d’un DPO (Art. 37 à 39), les transferts internationaux (Art. 44-49), la responsabilité (Art. 24 RGPD et Art. 82), les sanctions (Art. 83 et Art. 84).

C’est une zone d’erreur classique. Une banque qui invoque la LCB-FT pour refuser d’inscrire un traitement à son registre confond les régimes : la LCB-FT permet de ne pas informer le client (Art. 14 et 34) et de différer un droit d’accès (Art. 15), mais elle n’exonère pas de l’obligation Art. 30.

Article 23(2) : le standard de qualité de la loi nationale

Le deuxième paragraphe encadre la rédaction de la mesure législative. Il s’adresse au législateur, mais il est opposable au responsable de traitement : si la mesure invoquée ne satisfait pas le standard Art. 23(2), elle n’est pas une limitation valide au sens du RGPD et ne peut pas fonder le refus opposé à la personne concernée.

« 2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant : aux finalités du traitement ou des catégories de traitement ; aux catégories de données à caractère personnel ; à l’étendue des limitations introduites ; aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ; à la détermination du responsable du traitement ou des catégories de responsables du traitement ; aux durées de conservation et aux garanties applicables […] ; aux risques pour les droits et libertés des personnes concernées ; et au droit qu’ont les personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. »

Huit éléments sont exigés du législateur. L’EDPB précise dans ses Lignes directrices 10/2020 que tous doivent figurer expressément dans le texte, avec une précision suffisante, pour que la mesure satisfasse l’exigence de prévisibilité de la loi au sens de la jurisprudence de la Cour européenne des droits de l’homme (CEDH, Sunday Times c. Royaume-Uni, 26 avril 1979).

La CJUE applique ce standard avec rigueur. Dans l’arrêt C-184/20 Vyriausioji tarnybinės etikos komisija du 1er août 2022, la Cour a censuré une loi lituanienne qui imposait la publication de données patrimoniales et familiales d’agents publics, au motif que les garanties techniques et organisationnelles entourant la publication n’étaient pas suffisamment précises. La Cour a particulièrement insisté sur la nécessité de durées de conservation et de mesures de sécurité explicitement définies par la loi elle-même, et non renvoyées à un décret ou à la pratique administrative.

Le droit français a régulièrement été sanctionné de ce point de vue. Dans CJUE C-511/18 La Quadrature du Net du 6 octobre 2020, plusieurs dispositions du Code des postes et des communications électroniques et du Code de la sécurité intérieure ont été déclarées contraires au droit de l’Union pour insuffisance de garanties. Le Conseil d’État, dans son arrêt French Data Network du 21 avril 2021, a tiré les conséquences nationales de cet arrêt en imposant au Premier ministre d’abroger ou de modifier les dispositions concernées dans un délai contraint.

Le droit à l’information sur la limitation : un principe, une exception

Le point (h) de l’Art. 23(2) mérite une attention particulière. Il pose un droit pour la personne concernée d’être informée de la limitation, sauf si cette information « risque de nuire à la finalité de la limitation ».

Concrètement, la règle de principe est qu’un responsable qui refuse partiellement un droit d’accès doit dire à la personne qu’il refuse, sur quel fondement légal et par référence à quel motif Art. 23(1). Il n’est pas tenu de communiquer les données restées masquées, mais il doit communiquer le refus.

L’exception ne joue que si l’information du refus elle-même compromettrait la finalité poursuivie — typiquement en matière de renseignement, où révéler à la personne qu’elle est surveillée trahirait l’enquête. La CNIL a constamment rappelé dans ses délibérations que cette exception est d’interprétation stricte ; la pratique consistant à répondre par un silence indifférencié à toutes les demandes au motif d’une « base LCB-FT » est non conforme.

L’arrêt CJUE C-740/22 Endemol Shine Finland du 7 mars 2024 a confirmé que toute restriction au droit d’accès doit être proportionnée et que le refus pur et simple non motivé est contraire à l’Art. 15 lu à la lumière de l’Art. 23.

La transposition française : articles 116 à 118 LIL et régimes sectoriels

La loi française a transposé l’Art. 23 dans la LIL, principalement aux articles 116 à 118 (chapitre VI sur les droits des personnes), complétés par des régimes sectoriels.

L’article 116 LIL habilite le pouvoir réglementaire à restreindre, par décret en Conseil d’État, le droit d’information préalable Art. 13-14 RGPD pour les traitements intéressant la sûreté de l’État, la défense ou la sécurité publique. C’est la base de la non-information dans les fichiers de renseignement et antiterroristes.

L’article 117 LIL restreint le droit d’accès Art. 15 pour les mêmes traitements. Le mécanisme procédural est particulier : la personne concernée saisit la CNIL, qui effectue les vérifications à sa place (droit d’accès indirect). C’est ce qui s’applique aux fichiers TAJ (traitements d’antécédents judiciaires), FNAEG (empreintes génétiques), FNAEG, FAED (empreintes digitales), fichiers DGSI.

L’article 118 LIL organise les modalités du droit d’accès indirect.

À ces dispositions s’ajoutent les régimes sectoriels :

• LCB-FT : Art. L. 561-45-1 du Code monétaire et financier — interdiction d’informer le client d’un signalement Tracfin (« no tipping off »). Cette disposition limite à la fois Art. 13-14 (information préalable) et Art. 34 (notification de violation si elle révélerait le signalement). Pour la grille d’application complète, voir le guide AML et RGPD.
• Fiscalité : Art. L. 13 et L. 81 du Livre des procédures fiscales — droit de communication et de contrôle, limitation Art. 14 RGPD pour les destinataires fiscaux.
• Justice : Art. 11 du Code de procédure pénale — secret de l’instruction, limitation Art. 13-15 RGPD pendant la procédure.
• Santé : Art. L. 1110-4 du Code de la santé publique — secret médical, qui interagit avec l’Art. 9 RGPD ; certaines recherches au titre de l’Art. 89 RGPD bénéficient de dérogations supplémentaires.
• Renseignement : Loi n° 2015-912 du 24 juillet 2015 (Loi Renseignement) et Loi de programmation militaire.

Sanctions et zones de risque opérationnelles

Le mauvais usage de l’Art. 23 expose à deux régimes de sanction.

D’abord, le refus injustifié d’un droit d’accès, d’une rectification, d’un effacement ou d’une notification au titre d’une prétendue limitation Art. 23 sans base légale solide est un manquement aux Art. 12 à 22 et 34, relevant du plafond haut Art. 83(5)(b) (20 M€ ou 4 % du chiffre d’affaires annuel mondial). La CNIL a sanctionné à plusieurs reprises ce type d’erreur, notamment dans la délibération SAN-2022-022 Free Mobile du 30 novembre 2022 (300 000 €) où l’opérateur invoquait à tort des contraintes opérationnelles assimilables à des limitations.

Ensuite, l’invocation abusive d’un secret professionnel ou d’une obligation légale non opposable au demandeur peut être qualifiée d’obstacle au droit d’accès au sens de l’Art. 83(5)(b) et entraîner une mise en demeure publique, voire une sanction. La délibération SAN-2024-008 SAF Logistics du 27 juin 2024 a illustré la rigueur de la CNIL sur la qualité du motif de refus.

Trois zones de risque concentrent l’essentiel du contentieux Art. 23 :

• Réponses standardisées aux droits d’accès invoquant un secret professionnel ou une obligation légale sans qualification précise du fondement.
• Différé d’information au titre d’une enquête interne (RH, fraude, compliance) sans base législative explicite — la simple opportunité opérationnelle ne suffit pas.
• Refus de notification de violation au titre de l’Art. 34 RGPD en invoquant un « risque réputationnel » ou un « secret des affaires » sans qualification Art. 23(1).

Plan opérationnel : cinq chantiers Art. 23 pour 2026

Sur la base des contrôles CNIL des trois dernières années et de la jurisprudence CJUE consolidée, voici la trame que j’utilise en mission.

Chantier 1 — Cartographier les bases de limitation applicables. Pour chaque traitement du registre des traitements, identifier les obligations légales qui justifient une limitation potentielle (LCB-FT, fiscalité, secret de l’instruction, ordres professionnels, autorité de contrôle sectorielle). Lister le visa législatif précis (article et alinéa du Code applicable).

Chantier 2 — Construire une matrice droit-par-droit. Pour chaque traitement concerné, indiquer pour les Art. 13-14, 15, 16, 17, 18, 20, 21, 22 et 34 si la limitation est : intégrale, partielle, temporaire (durée de l’enquête, etc.) ou non applicable. Cette matrice est la pièce maîtresse de l’accountability Art. 24 sur les refus.

Chantier 3 — Documenter les refus dans les réponses aux personnes concernées. Rédiger des modèles de réponse qui mentionnent explicitement le fondement Art. 23 invoqué, le texte législatif précis et l’information sur la limitation (Art. 23(2)(h)), sauf exception strictement caractérisée. Conserver la traçabilité de chaque refus pendant cinq ans.

Chantier 4 — Coordonner avec les fonctions LCB-FT, fiscale et compliance. Les équipes opérationnelles invoquent souvent l’Art. 23 sans le savoir. Construire des règles d’arbitrage internes entre DPO et compliance : qui décide, qui valide la réponse, qui répond effectivement à la CNIL en cas de plainte.

Chantier 5 — Anticiper les contentieux CJUE et CE. Surveiller l’évolution de la jurisprudence sur les durées de conservation, le data retention, les fichiers de police, les obligations sectorielles. Plusieurs régimes français restent attaquables (suite de l’arrêt French Data Network 2021) et exposent les responsables qui s’en prévalent à un retournement.

Articulation avec les autres articles du RGPD

L’Art. 23 ne fonctionne pas en silo. Il s’articule avec :

• L’Art. 5 RGPD : les principes peuvent être restreints uniquement par effet miroir des droits Art. 12-22.
• Les Art. 12 à 22 : ce sont les obligations et droits dont la portée peut être limitée.
• L’Art. 34 RGPD : la communication des violations peut être limitée, pas la notification CNIL Art. 33.
• L’Art. 24 RGPD : l’accountability impose de documenter la base de la limitation et le test de proportionnalité in concreto.
• L’Art. 30 RGPD : la limitation Art. 23 ne dispense pas de la tenue du registre.
• L’Art. 9 RGPD : pour les données sensibles, les dérogations propres de l’Art. 9(2) prennent le relais.
• L’Art. 89 RGPD : régime parallèle de dérogations pour la recherche scientifique et l’archivage.
• L’Art. 83 RGPD : le refus injustifié au titre d’une fausse limitation Art. 23 relève du plafond haut Art. 83(5)(b).

Ce qu’il faut retenir

• L’Art. 23 RGPD autorise des limitations aux droits Art. 12-22 et à l’Art. 34, ainsi qu’aux principes Art. 5, à condition qu’elles reposent sur une mesure législative claire, qu’elles respectent l’essence des droits, soient nécessaires et proportionnées dans une société démocratique, et poursuivent un des dix objectifs limitativement énumérés.
• L’Art. 23(2) impose un standard de qualité élevé pour la loi nationale : huit éléments doivent figurer explicitement dans le texte, sous le contrôle exigeant de la CJUE (C-184/20 Vyriausioji tarnybinės etikos komisija, C-511/18 La Quadrature du Net, C-740/22 Endemol Shine Finland).
• La transposition française se trouve principalement aux articles 116 à 118 LIL (sûreté de l’État, défense, sécurité publique) complétés par des régimes sectoriels (LCB-FT Art. L. 561-45-1 CMF, secret de l’instruction Art. 11 CPP, secret médical Art. L. 1110-4 CSP).
• Le droit d’information sur la limitation (Art. 23(2)(h)) est le principe : un refus motivé doit être notifié à la personne, sauf si cette notification compromet la finalité poursuivie. L’exception est d’interprétation stricte.
• L’invocation abusive de l’Art. 23 — sans base législative précise, ou par renvoi générique à « la loi » — est un manquement à l’Art. 12 ou 15, sanctionnable au plafond haut Art. 83(5)(b) (20 M€ / 4 % CA mondial).

FAQ

Une obligation contractuelle ou un secret des affaires permet-il d’invoquer l’Art. 23 RGPD ?

Non. L’Art. 23(1) exige une mesure législative — un acte du droit de l’Union ou d’un État membre. Un contrat, une NDA, une politique interne ou un « secret des affaires » au sens du Code de commerce ne sont pas des mesures législatives au sens du RGPD. La protection du secret des affaires peut être prise en compte dans l’examen de proportionnalité d’une réponse à un droit d’accès, mais elle ne fonde pas à elle seule une limitation Art. 23.

Peut-on refuser un droit d’accès au motif que les données sont « confidentielles » ?

Non, sauf à viser précisément le texte législatif qui institue cette confidentialité (secret médical Art. L. 1110-4 CSP, secret bancaire, secret professionnel des avocats, secret de l’instruction Art. 11 CPP). Le simple caractère sensible ou stratégique d’une information ne fonde pas une limitation Art. 23. La CNIL examine systématiquement la qualité du fondement invoqué et sanctionne les refus génériques.

Faut-il informer la personne du refus partiel ?

Oui, en principe. L’Art. 23(2)(h) consacre un droit à l’information sur l’existence de la limitation. Le responsable doit donc dire qu’il refuse, sur quel fondement légal, et par référence à quel motif Art. 23(1) — même s’il ne communique pas les données restées masquées. L’exception ne joue que si l’information même du refus compromettrait la finalité poursuivie (typiquement en matière de renseignement). En LCB-FT, le « no tipping off » justifie de ne pas révéler l’existence d’un signalement Tracfin, pas de répondre par un silence général à toutes les demandes.

Quelles obligations RGPD ne peuvent jamais être limitées au titre de l’Art. 23 ?

L’Art. 23(1) limite la portée des Art. 12-22, de l’Art. 34, et de l’Art. 5 par effet miroir. Ne peuvent pas être limités : la licéité Art. 6 (sauf via les bases propres comme l’obligation légale), les conditions Art. 9 sur les données sensibles, la sécurité Art. 32, la notification de violation à la CNIL Art. 33, le registre Art. 30, la désignation du DPO (Art. 37-39), les transferts internationaux (Art. 44-49), la responsabilité civile Art. 82, les sanctions Art. 83 et Art. 84.

Quel est le standard d’examen en cas de contentieux ?

Triple test cumulatif : essence des droits (le droit ne doit pas être vidé de sa substance), nécessité (pas d’alternative moins attentatoire), proportionnalité dans une société démocratique (avantage proportionné à l’atteinte). La CJUE l’applique avec une exigence particulière en matière de surveillance et de conservation des données (Digital Rights Ireland, La Quadrature du Net, Privacy International). Le Conseil d’État a tiré les conséquences nationales dans French Data Network du 21 avril 2021. Toute limitation insuffisamment précise expose la mesure législative à inopposabilité et le responsable à sanction.

---

Vous souhaitez recevoir nos analyses pratiques sur la jurisprudence RGPD et les obligations sectorielles ? Abonnez-vous à notre newsletter hebdomadaire pour ne rien manquer des évolutions CNIL, CJUE et CE.