|
CHAPITRE II CONDITIONS GÉNÉRALES DE LICÉITÉ DES TRAITEMENTS DE DONNÉES
À CARACTÈRE PERSONNEL
Article 5
Les États membres précisent, dans les limites des dispositions du présent
chapitre, les conditions dans lesquelles les traitements de données à
caractère personnel sont licites.
SECTION I
PRINCIPES RELATIFS À LA QUALITÉ DES DONNÉES
Article 6
1. Les États membres prévoient que les données à caractère personnel
doivent être:
a) traitées loyalement et licitement;
b) collectées pour des finalités déterminées, explicites et légitimes,
et ne pas être traitées ultérieurement de manière incompatible avec
ces finalités. Un traitement ultérieur à des fins historiques,
statistiques ou scientifiques n'est pas réputé incompatible pour autant
que les États membres prévoient des garanties appropriées;
c) adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont collectées et pour lesquelles elles sont traitées
ultérieurement;
d) exactes et, si nécessaire, mises à jour; toutes les mesures
raisonnables doivent être prises pour que les données inexactes ou
incomplètes, au regard des finalités pour lesquelles elles sont collectées
ou pour lesquelles elles sont traitées ultérieurement, soient effacées
ou rectifiées;
e) conservées sous une forme permettant l'identification des personnes
concernées pendant une durée n'excédant pas celle nécessaire à la réalisation
des finalités pour lesquelles elles sont collectées ou pour lesquelles
elles sont traitées ultérieurement. Les États membres prévoient des
garanties appropriées pour les données à caractère personnel qui sont
conservées au-delà de la période précitée, à des fins historiques,
statistiques ou scientifiques.
2. Il incombe au responsable du traitement d'assurer le respect du
paragraphe 1.
SECTION II
PRINCIPES RELATIFS À LA LÉGITIMATION DES TRAITEMENTS DE DONNÉES
Article 7
Les États membres prévoient que le traitement de données à caractère
personnel ne peut être effectué que si:
a) la personne concernée a indubitablement donné son consentement
ou
b) il est nécessaire à l'exécution d'un contrat auquel la personne
concernée est partie ou à l'exécution de mesures précontractuelles
prises à la demande de celle-ci
ou
c) il est nécessaire au respect d'une obligation légale à laquelle le
responsable du traitement est soumis
ou
d) il est nécessaire à la sauvegarde de l'intérêt vital de la personne
concernée
ou
e) il est nécessaire à l'exécution d'une mission d'intérêt public ou
relevant de l'exercice de l'autorité publique, dont est investi le
responsable du traitement ou le tiers auquel les données sont communiquées
ou
f) il est nécessaire à la réalisation de l'intérêt légitime
poursuivi par le responsable du traitement ou par le ou les tiers auxquels
les données sont communiquées, à condition que ne prévalent pas l'intérêt
ou les droits et libertés fondamentaux de la personne concernée, qui
appellent une protection au titre de l'article 1er paragraphe 1.
SECTION III
CATÉGORIES PARTICULIÈRES DE TRAITEMENTS
Article 8
Traitements portant sur des catégories particulières de données
1. Les États membres interdisent le traitement des données à caractère
personnel qui révèlent l'origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques, l'appartenance
syndicale, ainsi que le traitement des données relatives à la santé et
à la vie sexuelle.
2. Le paragraphe 1 ne s'applique pas lorsque:
a) la personne concernée a donné son consentement explicite à un tel
traitement, sauf dans le cas où la législation de l'État membre prévoit
que l'interdiction visée au paragraphe 1 ne peut être levée par le
consentement de la personne concernée
ou
b) le traitement est nécessaire aux fins de respecter les obligations et
les droits spécifiques du responsable du traitement en matière de droit
du travail, dans la mesure où il est autorisé par une législation
nationale prévoyant des garanties adéquates
ou
c) le traitement est nécessaire à la défense des intérêts vitaux de
la personne concernée ou d'une autre personne dans le cas où la personne
concernée se trouve dans l'incapacité physique ou juridique de donner
son consentement
ou
d) le traitement est effectué dans le cadre de leurs activités légitimes
et avec des garanties appropriées par une fondation, une association ou
tout autre organisme à but non lucratif et à finalité politique,
philosophique, religieuse ou syndicale, à condition que le traitement se
rapporte aux seuls membres de cet organisme ou aux personnes entretenant
avec lui des contacts réguliers liés à sa finalité et que les données
ne soient pas communiquées à des tiers sans le consentement des
personnes concernées
ou
e) le traitement porte sur des données manifestement rendues publiques
par la personne concernée ou est nécessaire à la constatation, à
l'exercice ou à la défense d'un droit en justice.
3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données
est nécessaire aux fins de la médecine préventive, des diagnostics médicaux,
de l'administration de soins ou de traitements ou de la gestion de
services de santé et que le traitement de ces données est effectué par
un praticien de la santé soumis par le droit national ou par des réglementations
arrêtées par les autorités nationales compétentes au secret
professionnel, ou par une autre personne également soumise à une
obligation de secret équivalente.
4. Sous réserve de garanties appropriées, les États membres peuvent prévoir,
pour un motif d'intérêt public important, des dérogations autres que
celles prévues au paragraphe 2, soit par leur législation nationale,
soit sur décision de l'autorité de contrôle.
5. Le traitement de données relatives aux infractions, aux condamnations
pénales ou aux mesures de sûreté ne peut être effectué que sous le
contrôle de l'autorité publique ou si des garanties appropriées et spécifiques
sont prévues par le droit national, sous réserve des dérogations qui
peuvent être accordées par l'État membre sur la base de dispositions
nationales prévoyant des garanties appropriées et spécifiques.
Toutefois, un recueil exhaustif des condamnations pénales ne peut être
tenu que sous le contrôle de l'autorité publique.
Les États membres peuvent prévoir que les données relatives aux
sanctions administratives ou aux jugements civils sont également traitées
sous le contrôle de l'autorité publique.
6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont
notifiées à la Commission.
7. Les États membres déterminent les conditions dans lesquelles un numéro
national d'identification ou tout autre identifiant de portée générale
peut faire l'objet d'un traitement.
Article 9
Traitements de données à caractère personnel et liberté d'expression
Les États membres prévoient, pour les traitements de données à caractère
personnel effectués aux seules fins de journalisme ou d'expression
artistique ou littéraire, des exemptions et dérogations au présent
chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles
s'avèrent nécessaires pour concilier le droit à la vie privée avec les
règles régissant la liberté d'expression.
SECTION IV
INFORMATION DE LA PERSONNE CONCERNÉE
Article 10
Informations en cas de collecte de données auprès de la personne concernée
Les États membres prévoient que le responsable du traitement ou son représentant
doit fournir à la personne auprès de laquelle il collecte des données
la concernant au moins les informations énumérées ci-dessous, sauf si
la personne en est déjà informée:
a) l'identité du responsable du traitement et, le cas échéant, de son
représentant;
b) les finalités du traitement auquel les données sont destinées;
c) toute information supplémentaire telle que:
- les destinataires ou les catégories de destinataires des données,
- le fait de savoir si la réponse aux questions est obligatoire ou
facultative ainsi que les conséquences éventuelles d'un défaut de réponse,
- l'existence d'un droit d'accès aux données la concernant et de
rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans
lesquelles les données sont collectées, ces informations supplémentaires
sont nécessaires pour assurer à l'égard de la personne concernée un
traitement loyal des données.
Article 11
Informations lorsque les données n'ont pas été collectées auprès de
la personne concernée
1. Lorsque les données n'ont pas été collectées auprès de la personne
concernée, les États membres prévoient que le responsable du traitement
ou son représentant doit, dès l'enregistrement des données ou, si une
communication de données à un tiers est envisagée, au plus tard lors de
la première communication de données, fournir à la personne concernée
au moins les informations énumérées ci-dessous, sauf si la personne en
est déjà informée:
a) l'identité du responsable du traitement et, le cas échéant, de son
représentant;
b) les finalités du traitement;
c) toute information supplémentaire telle que:
- les catégories de données concernées,
- les destinataires ou les catégories de destinataires des données,
- l'existence d'un droit d'accès aux données la concernant et de
rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans
lesquelles les données sont collectées, ces informations supplémentaires
sont nécessaires pour assurer à l'égard de la personne concernée un
traitement loyal des données.
2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un
traitement à finalité statistique ou de recherche historique ou
scientifique, l'information de la personne concernée se révèle
impossible ou implique des efforts disproportionnés ou si la législation
prévoit expressément l'enregistrement ou la communication des données.
Dans ces cas, les États membres prévoient des garanties appropriées.
SECTION V
DROIT D'ACCÈS DE LA PERSONNE CONCERNÉE AUX DONNÉES
Article 12
Droit d'accès
Les États membres garantissent à toute personne concernée le droit
d'obtenir du responsable du traitement:
a) sans contrainte, à des intervalles raisonnables et sans délais ou
frais excessifs:
- la confirmation que des données la concernant sont ou ne sont pas traitées,
ainsi que des informations portant au moins sur les finalités du
traitement, les catégories de données sur lesquelles il porte et les
destinataires ou les catégories de destinataires auxquels les données
sont communiquées,
- la communication, sous une forme intelligible, des données faisant
l'objet des traitements, ainsi que de toute information disponible sur
l'origine des données,
- la connaissance de la logique qui sous-tend tout traitement automatisé
des données la concernant, au moins dans le cas des décisions automatisées
visées à l'article 15 paragraphe 1;
b) selon le cas, la rectification, l'effacement ou le verrouillage des
données dont le traitement n'est pas conforme à la présente directive,
notamment en raison du caractère incomplet ou inexact des données;
c) la notification aux tiers auxquels les données ont été communiquées
de toute rectification, tout effacement ou tout verrouillage effectué
conformément au point b), si cela ne s'avère pas impossible ou ne
suppose pas un effort disproportionné.
SECTION VI
EXCEPTIONS ET LIMITATIONS
Article 13
Exceptions et limitations
1. Les États membres peuvent prendre des mesures législatives visant à
limiter la portée des obligations et des droits prévus à l'article 6
paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux
articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire
pour sauvegarder:
a) la sûreté de l'État;
b) la défense;
c) la sécurité publique;
d) la prévention, la recherche, la détection et la poursuite
d'infractions pénales ou de manquements à la déontologie dans le cas
des professions réglementées;
e) un intérêt économique ou financier important d'un État membre ou de
l'Union européenne, y compris dans les domaines monétaire, budgétaire
et fiscal;
f) une mission de contrôle, d'inspection ou de réglementation relevant,
même à titre occasionnel, de l'exercice de l'autorité publique, dans
les cas visés aux points c), d) et e);
g) la protection de la personne concernée ou des droits et libertés
d'autrui.
2. Sous réserve de garanties légales appropriées, excluant notamment
que les données puissent être utilisées aux fins de mesures ou de décisions
se rapportant à des personnes précises, les États membres peuvent, dans
le cas où il n'existe manifestement aucun risque d'atteinte à la vie
privée de la personne concernée, limiter par une mesure législative les
droits prévus à l'article 12 lorsque les données sont traitées
exclusivement aux fins de la recherche scientifique ou sont stockées sous
la forme de données à caractère personnel pendant une durée n'excédant
pas celle nécessaire à la seule finalité d'établissement de
statistiques.
SECTION VII
DROIT D'OPPOSITION DE LA PERSONNE CONCERNÉE
Article 14
Droit d'opposition de la personne concernée
Les États membres reconnaissent à la personne concernée le droit:
a) au moins dans les cas visés à l'article 7 points e) et f), de
s'opposer à tout moment, pour des raisons prépondérantes et légitimes
tenant à sa situation particulière, à ce que des données la concernant
fassent l'objet d'un traitement, sauf en cas de disposition contraire du
droit national. En cas d'opposition justifiée, le traitement mis en
oeuvre par le responsable du traitement ne peut plus porter sur ces données;
b) de s'opposer, sur demande et gratuitement, au traitement des données
à caractère personnel la concernant envisagé par le responsable du
traitement à des fins de prospection
ou
d'être informée avant que des données à caractère personnel ne soient
pour la première fois communiquées à des tiers ou utilisées pour le
compte de tiers à des fins de prospection et de se voir expressément
offrir le droit de s'opposer, gratuitement, à ladite communication ou
utilisation.
Les États membres prennent les mesures nécessaires pour garantir que les
personnes concernées ont connaissance de l'existence du droit visé au
point b) premier alinéa.
Article 15
Décisions individuelles automatisées
1. Les États membres reconnaissent à toute personne le droit de ne pas
être soumise à une décision produisant des effets juridiques à son égard
ou l'affectant de manière significative, prise sur le seul fondement d'un
traitement automatisé de données destiné à évaluer certains aspects
de sa personnalité, tels que son rendement professionnel, son crédit, sa
fiabilité, son comportement, etc.
2. Les États membres prévoient, sous réserve des autres dispositions de
la présente directive, qu'une personne peut être soumise à une décision
telle que celle visée au paragraphe 1 si une telle décision:
a) est prise dans le cadre de la conclusion ou de l'exécution d'un
contrat, à condition que la demande de conclusion ou d'exécution du
contrat, introduite par la personne concernée, ait été satisfaite ou
que des mesures appropriées, telles que la possibilité de faire valoir
son point de vue, garantissent la sauvegarde de son intérêt légitime
ou
b) est autorisée par une loi qui précise les mesures garantissant la
sauvegarde de l'intérêt légitime de la personne concernée.
SECTION VIII
CONFIDENTIALITÉ ET SÉCURITÉ DES TRAITEMENTS
Article 16
Confidentialité des traitements
Toute personne agissant sous l'autorité du responsable du traitement ou
celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède
à des données à caractère personnel ne peut les traiter que sur
instruction du responsable du traitement, sauf en vertu d'obligations légales.
Article 17
Sécurité des traitements
1. Les États membres prévoient que le responsable du traitement doit
mettre en oeuvre les mesures techniques et d'organisation appropriées
pour protéger les données à caractère personnel contre la destruction
accidentelle ou illicite, la perte accidentelle, l'altération, la
diffusion ou l'accès non autorisés, notamment lorsque le traitement
comporte des transmissions de données dans un réseau, ainsi que contre
toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts
liés à leur mise en oeuvre, un niveau de sécurité approprié au regard
des risques présentés par le traitement et de la nature des données à
protéger.
2. Les États membres prévoient que le responsable du traitement, lorsque
le traitement est effectué pour son compte, doit choisir un sous-traitant
qui apporte des garanties suffisantes au regard des mesures de sécurité
technique et d'organisation relatives aux traitements à effectuer et
qu'il doit veiller au respect de ces mesures.
3. La réalisation de traitements en sous-traitance doit être régie par
un contrat ou un acte juridique qui lie le sous-traitant au responsable du
traitement et qui prévoit notamment que:
- le sous-traitant n'agit que sur la seule instruction du responsable du
traitement,
- les obligations visées au paragraphe 1, telles que définies par la législation
de l'État membre dans lequel le sous-traitant est établi, incombent également
à celui-ci.
4. Aux fins de la conservation des preuves, les éléments du contrat ou
de l'acte juridique relatifs à la protection des données et les
exigences portant sur les mesures visées au paragraphe 1 sont consignés
par écrit ou sous une autre forme équivalente.
SECTION IX
NOTIFICATION
Article 18
Obligation de notification à l'autorité de contrôle
1. Les États membres prévoient que le responsable du traitement, ou le
cas échéant son représentant, doit adresser une notification à
l'autorité de contrôle visée à l'article 28 préalablement à la mise
en oeuvre d'un traitement entièrement ou partiellement automatisé ou
d'un ensemble de tels traitements ayant une même finalité ou des finalités
liées.
2. Les États membres ne peuvent prévoir de simplification de la
notification ou de dérogation à cette obligation que dans les cas et aux
conditions suivants:
- lorsque, pour les catégories de traitement qui, compte tenu des données
à traiter, ne sont pas susceptibles de porter atteinte aux droits et
libertés des personnes concernées, ils précisent les finalités des
traitements, les données ou catégories de données traitées, la ou les
catégories de personnes concernées, les destinataires ou catégories de
destinataires auxquels les données sont communiquées et la durée de
conservation des données
et/ou
- lorsque le responsable du traitement désigne, conformément au droit
national auquel il est soumis, un détaché à la protection des données
à caractère personnel chargé notamment:
- d'assurer, d'une manière indépendante, l'application interne des
dispositions nationales prises en application de la présente directive,
- de tenir un registre des traitements effectués par le responsable du
traitement, contenant les informations visées à l'article 21 paragraphe
2,
et garantissant de la sorte que les traitements ne sont pas susceptibles
de porter atteinte faux droits et libertés des personnes concernées.
3. Les États membres peuvent prévoir que le paragraphe 1 ne s'applique
pas aux traitements ayant pour seul objet la tenue d'un registre qui, en
vertu de dispositions législatives ou réglementaires, est destiné à
l'information du public et est ouvert à la consultation du public ou de
toute personne justifiant d'un intérêt légitime.
4. Les États membres peuvent prévoir une dérogation à l'obligation de
notification ou une simplification de la notification pour les traitements
visés à l'article 8 paragraphe 2 point d).
5. Les États membres peuvent prévoir que les traitements non automatisés
de données à caractère personnel, ou certains d'entre eux, font l'objet
d'une notification, éventuellement simplifiée.
Article 19
Contenu de la notification
1. Les États membres précisent les informations qui doivent figurer dans
la notification. Elles comprennent au minimum:
a) le nom et l'adresse du responsable du traitement et, le cas échéant,
de son représentant;
b) la ou les finalités du traitement;
c) une description de la ou des catégories de personnes concernées et
des données ou des catégories de données s'y rapportant;
d) les destinataires ou les catégories de destinataires auxquels les données
sont susceptibles d'être communiquées;
e) les transferts de données envisagés à destination de pays tiers;
f) une description générale permettant d'apprécier de façon préliminaire
le caractère approprié des mesures prises pour assurer la sécurité du
traitement en application de l'article 17.
2. Les États membres précisent les modalités de notification à
l'autorité de contrôle des changements affectant les informations visées
au paragraphe 1.
Article 20
Contrôles préalables
1. Les États membres précisent les traitements susceptibles de présenter
des risques particuliers au regard des droits et libertés des personnes
concernées et veillent à ce que ces traitements soient examinés avant
leur mise en oeuvre.
2. De tels examens préalables sont effectués par l'autorité de contrôle
après réception de la notification du responsable du traitement ou par
le détaché à la protection des données, qui, en cas de doute, doit
consulter l'autorité de contrôle.
3. Les États membres peuvent aussi procéder à un tel examen dans le
cadre de l'élaboration soit d'une mesure du Parlement national, soit
d'une mesure fondée sur une telle mesure législative, qui définisse la
nature du traitement et fixe des garanties appropriées.
Article 21
Publicité des traitements
1. Les États membres prennent des mesures pour assurer la publicité des
traitements.
2. Les États membres prévoient que l'autorité de contrôle tient un
registre des traitements notifiés en vertu de l'article 18.
Le registre contient au minimum les informations énumérées à l'article
19 paragraphe 1 points a) à e).
Le registre peut être consulté par toute personne.
3. En ce qui concerne les traitements non soumis à notification, les États
membres prévoient que le responsable du traitement ou une autre instance
qu'ils désignent communique sous une forme appropriée à toute personne
qui en fait la demande au moins les informations visées à l'article 19
paragraphe 1 points a) à e).
Les États membres peuvent prévoir que la présente disposition ne
s'applique pas aux traitements ayant pour seul objet la tenue d'un
registre qui, en vertu de dispositions législatives ou réglementaires,
est destiné à l'information du public et est ouvert à la consultation
du public ou de toute personne justifiant d'un intérêt légitime. DISPOSITIONS GENERALES ] [ CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL ] [ RECOURS JURIDICTIONNELS RESPONSABILITE ET SANCTIONS ] [ TRANSFERTS DE DONNEES A CARACTERE PERSONNEL VERS DES PAYS TIERS ] DISPOSITIONS GENERALES ] [ CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL ] [ RECOURS JURIDICTIONNELS RESPONSABILITE ET SANCTIONS ] DISPOSITIONS GENERALES ] [ CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL ]
|